Django emite actualización crítica por vulnerabilidades de seguridad en diciembre 2024

El equipo de Django, uno de los frameworks de desarrollo web más utilizados a nivel global, lanzó el 4 de diciembre de 2024 actualizaciones de seguridad críticas para resolver dos vulnerabilidades detectadas en versiones recientes del framework. Estas vulnerabilidades podrían comprometer la seguridad de aplicaciones web al permitir ataques como la inyección de SQL y la denegación de servicio (DoS).

Vulnerabilidades Detectadas

1. CVE-2024-53907: Denegación de servicio en django.utils.html.strip_tags(). Esta vulnerabilidad afecta la función strip_tags(), utilizada comúnmente para eliminar etiquetas HTML de texto ingresado por los usuarios. Un atacante podría explotar esta función enviando datos especialmente diseñados para desencadenar un bucle infinito o un consumo excesivo de recursos, provocando la caída del sistema o una ralentización crítica. Esto plantea un riesgo particular en aplicaciones que procesan grandes volúmenes de datos o entradas de usuario en tiempo real.
2. CVE-2024-53908: Inyección SQL en HasKey(lhs, rhs) cuando se utiliza Oracle como base de datos. La segunda vulnerabilidad afecta el operador HasKey en consultas ORM, técnica que permite a los desarrolladores interactuar con bases de datos relacionales usando código orientado a objetos en lugar de consultas SQL directas. Un atacante podría explotar esta vulnerabilidad para inyectar código SQL malicioso, obteniendo acceso no autorizado a datos sensibles o alterando la integridad de la base de datos. Dado que el ORM de Django abstrae las consultas SQL, esta vulnerabilidad es especialmente peligrosa porque podría pasar desapercibida para los desarrolladores que confían plenamente en la seguridad de esta capa.

Versiones afectadas

Las vulnerabilidades recientemente identificadas impactan las versiones más populares de Django, incluyendo tanto versiones de soporte extendido como lanzamientos recientes, están comprometidas:

• Django 4.2
• Django 5.0
• Django 5.1

Para mitigar estas vulnerabilidades, el equipo de Django ha desarrollado parches que solucionen los problemas. Se recomienda actualizar a las siguientes versiones inmediatamente:

• Django 4.2.10
• Django 5.0.3
• Django 5.1.1

Los desarrolladores deben tomar acción inmediata para proteger sus aplicaciones:

1. Actualizar Django: Instalar las versiones parcheadas (4.2.10, 5.0.3 o 5.1.1) según la rama utilizada.
2. Auditar dependencias: Verificar que otras dependencias relacionadas con Django estén actualizadas para evitar posibles conflictos.
3. Revisar implementaciones: Analizar el uso de strip_tags() y consultas con el operador HasKey para identificar posibles exposiciones antes de la actualización.

Es crucial que los desarrolladores revisen sus entornos de desarrollo y producción para determinar si utilizan alguna de estas versiones vulnerables. Actualizar a las versiones parcheadas no solo protege contra ataques, sino que también garantiza la estabilidad y funcionalidad de las aplicaciones que dependen de Django. Las actualizaciones pueden realizarse mediante herramientas estándar de administración de dependencias como pip. Por ejemplo:

pip install --upgrade django

Proceso que asegura que las correcciones sean aplicadas de manera efectiva y reduce significativamente los riesgos de seguridad.

Estas vulnerabilidades resaltan la importancia de mantener actualizados los entornos de desarrollo y realizar auditorías regulares del código y las dependencias. Los desarrolladores que no tomen medidas podrían exponer sus aplicaciones a riesgos significativos, afectando no solo la seguridad de los datos, sino también la confianza de los usuarios.

Más información:

• CVE-2024-53907 
• CVE-2024-53908
• Documentación: https://docs.djangoproject.com/en/dev/releases/security/
• Descripción completa de las vulnerabilidades: https://www.djangoproject.com/weblog/2024/dec/04/security-releases/

La entrada Django emite actualización crítica por vulnerabilidades de seguridad en diciembre 2024 se publicó primero en Una Al Día.