Seguridad

Vulnerabilidad que permitiría un ataque XSS en Django-Unicorn

Los desarrolladores de Unicorn han corregido una vulnerabilidad en su producto ‘django-unicorn’ que podría permitir un ataque XSS.

Django es un framework de desarrollo de código abierto y escrito en Python que actualmente tiene una gran popularidad. Utiliza el patrón modelo-vista-controlador (MVC) como patrón de diseño.

Unicorn para Django es un componente que mejora el rendimiento de las vistas de Django facilitando las tareas en background. Esto permite la modificación del DOM de una página web de forma ágil con un sistema adaptado perfectamente al modelo de diseño modelo-vista-controlador de Django.

La vulnerabilidad afecta al paquete ‘Django-Unicorn’ en la versión 0.36.0 y anteriores . Este error tiene la calificación de ‘problemático’, aunque solamente tiene un CVSS temporal de tan solo 3.4 puntos de riesgo.

La corrección de la vulnerabilidad CVE-2021-42053 dió lugar a esta otra vulnerabilidad, la cual se ha calificado como CVE-2021-42134. Un mal manejo en los parámetros recibidos en una petición web son los causantes de dicho error.

Un atacante remoto autenticado podría aprovechar la vulnerabilidad descubierta para realizar un ataque XSS (cross site scripting) a través de una petición web especialmente manipulada, pero no se dan detalles del impacto que puede llegar a causar.

Los desarrolladores han corregido el paquete ‘Django-Unicorn’ en la versión 0.36.1 a través del commit 3a832a9e3f6455ddd3b87f646247269918ad10c6 y la corrección está disponible en github para cualquier usuario que quiera actualizar el código.

Más información:

* Unicorn Framework up to 0.36.0 on Django Incomple Fix CVE-2021-42053 cross site scripting
https://vuldb.com/?id.184138

* More complete handling for preventing XSS attacks.
https://github.com/adamghill/django-unicorn/commit/3a832a9e3f6455ddd3b87f646247269918ad10c6

La entrada Vulnerabilidad que permitiría un ataque XSS en Django-Unicorn se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.