ГлавнаяБаза уязвимостей БДУ → BDU:2021-00719
4.3средняя

BDU:2021-00719 (CVE-2020-13596)

Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2021-02-16
Описание

Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)Enterprise Manager Ops Center (12.4.0.0)Sun ZFS Storage Appliance Kit (8.8)Hyperion Infrastructure Technology (11.1.2.4)Django (от 2.2 до 2.2.13)Django (от 3.0 до 3.0.7)
Способ устранения

Использование рекомендаций:
Для Django:
https://docs.djangoproject.com/en/3.0/releases/security/
https://www.djangoproject.com/weblog/2020/jun/03/security-releases/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/

Для Ubuntu:
https://usn.ubuntu.com/4381-1/
https://usn.ubuntu.com/4381-2/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-13596

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://docs.djangoproject.com/en/3.0/releases/security/https://groups.google.com/forum/#!msg/django-announce/pPEmb2ot4Fo/X-SMalYSBAAJhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/https://nvd.nist.gov/vuln/detail/CVE-2020-13596https://security-tracker.debian.org/tracker/CVE-2020-13596https://usn.ubuntu.com/4381-1/https://usn.ubuntu.com/4381-2/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена