「Django」にセキュリティアップデート - 複数の脆弱性を修正

ウェブアプリケーションフレームワーク「Django」の開発チームは、セキュリティアップデートをリリースし、複数の脆弱性に対処した。

現地時間12月4日にセキュリティアドバイザリを公開し、セキュリティアップデートを通じて2件の脆弱性に対処したことを明らかにしたもの。

「CVE-2024-53908」は、Oracleデータベースによる特定の環境下においてSQLインジェクションが可能となる脆弱性。

「HTMLタグ」を除去するメソッドやテンプレートフィルタにおいて、大量の入れ子構造を持つ不完全な「HTMLエンティティ」によってサービス拒否を引き起こすことが可能となる「CVE-2024-53907」も判明している。

脆弱性の重要度をそれぞれ「高（High）」「中（Moderate）」とした。共通脆弱性評価システム「CVSSv3.1」のベーススコアなどは示していない。

開発チームでは、「Django 5.1.4」「同5.0.10」「同4.2.17」にて脆弱性を修正。利用者にアップデートを呼びかけている。

（Security NEXT - 2024/12/06 ） ツイート

PR

関連記事

廃棄PCや内蔵SSDが所在不明、内部に個人情報 - JR仙台病院
複数企業向けの同報メールで誤送信、件名にメアド - 佐賀県
再々委託先で記録媒体が所在不明、顧客情報含む可能性 - みずほ銀
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
第三者がファイル共有サーバにアクセス、情報流出の可能性 - 道路工業
元従業員が社外秘メールを社外関係者へ無断転送 - 日販グループHD
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも