کشف آسیب‌پذیری ارتقای سطح دسترسی در فریم‌ورک DJANGO

مرکز ماهر , 19 آذر 1398 ساعت 10:59

آسیب‌پذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریم‌ورک معروف DJANGO شناسایی شد.


‫آسیب‌پذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریم‌ورک معروف DJANGO شناسایی شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیب‌پذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریم‌ورک معروف DJANGO با شناسه CVE-۲۰۱۹-۱۹۱۱۸ در ۱۱ آذر ۱۳۹۸ منتشر شد. مهاجم با بهره برداری از این آسیب‌پذیری می‌تواند سطح دسترسی‌خود را ارتقا داده و دست به عملیات غیرمجاز بزند. نسخه‌های قبل از ۲.۲.۸ و ۲.۱.۵ این فریمورک آسیب‌پذیر هستند.

از نسخه ۲.۱  DJANGO به بعد در یک مدل ادمین DJANGO که یک مدل PARENT با مدل‌های INLINE مرتبطش را نمایش می‌دهد، کاربر اجازه تغییر در مدل PARENT را ندارد اما می‌تواند مدل INLINE را ویرایش کند؛ درنتیجه یک VIEW فقط‌ خواندنی برای مدل PARENT و یک فرم قابل ویرایش برای مدل INLINE نمایش داده‌می‌شود.

این فرم‌ها اجازه تغییرات مستقیم در مدل PARENT را نمی‌دهد اما تابع SAVE() مدل PARENT را فراخوانی می‌کند و متعاقباً سبب فراخوانی سیگنال HANDLERهای قبل و بعد از ذخیره‌سازی می‌شوند. به عنوان کاربری که اجازه‌ تغییر یک مدل خاص را ندارد و به دنبال آن نباید اجازه فراخوانی سیگنال‌های مربوط به ذخیره‌سازی را داشته‌باشد، این یک ارتقای سطح دسترسی محسوب‌می‌شود.

برای رفع این آسیب‌پذیری کد رابط آدمین DJANGO که مجوزها را کنترل می‌کند، تغییر کرده‌است. آن دسته از برنامه‌نویسانی که برنامه‌هایشان تحت‌تاثیر این تغییر قرار گرفته‌است باید INLINEهای استفاده‌شده در مدل‌های PARENT را با فرم‌ها و VIEW هایی که عملکردشان به‌طور صریح پیاده‌سازی شده‌است، جایگزین کنند.

جدول زیر اطلاعات مربوط به نسخه‌های آسیب‌پذیر و غیرآسیب‌پذیر PYTHON-DJANGO را نشان می‌دهد:
 


کد مطلب: 16102

آدرس مطلب: http://www.aftana.ir/fa/doc/news/16102/کشف-آسیب-پذیری-ارتقای-سطح-دسترسی-فریم-ورک-django

افتانا
  http://www.aftana.ir