Уязвимость функции strip_tags() модуля django.utils.html программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов в результате некорректного экранирования HTML-символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданных HTML-сущностей
Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/
https://docs.djangoproject.com/en/dev/releases/security/
https://docs.djangoproject.com/en/dev/releases/4.2.17/
https://docs.djangoproject.com/en/dev/releases/5.0.10/
https://docs.djangoproject.com/en/dev/releases/5.1.4/
https://github.com/django/django/commit/790eb058b0716c536a2f2e8d1c6d5079d776c22b
https://github.com/django/django/commit/a5a89ea28cc550c1b29b03f9e14ef3c128ec1e84
https://github.com/django/django/commit/bbc74a7f7eb7335e913bdb4787f22e83a9be947e
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-53907
Для Ubuntu:
https://ubuntu.com/security/notices/USN-7136-2
https://ubuntu.com/security/notices/USN-7136-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-53907
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-53907.html
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения возможности подключения недоверенных пользователей к административным интерфейсам платформы и базы данных.
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u6
Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
| Балл | 7.8 — высокая опасность |