آسیبپذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریمورک معروف DJANGO شناسایی شد.
منبع : مرکز ماهر
آسیبپذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریمورک معروف DJANGO شناسایی شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری ارتقای سطح دسترسی با درجه حساسیت بالا در فریمورک معروف DJANGO با شناسه CVE-۲۰۱۹-۱۹۱۱۸ در ۱۱ آذر ۱۳۹۸ منتشر شد. مهاجم با بهره برداری از این آسیبپذیری میتواند سطح دسترسیخود را ارتقا داده و دست به عملیات غیرمجاز بزند. نسخههای قبل از ۲.۲.۸ و ۲.۱.۵ این فریمورک آسیبپذیر هستند.
از نسخه ۲.۱ DJANGO به بعد در یک مدل ادمین DJANGO که یک مدل PARENT با مدلهای INLINE مرتبطش را نمایش میدهد، کاربر اجازه تغییر در مدل PARENT را ندارد اما میتواند مدل INLINE را ویرایش کند؛ درنتیجه یک VIEW فقط خواندنی برای مدل PARENT و یک فرم قابل ویرایش برای مدل INLINE نمایش دادهمیشود.
این فرمها اجازه تغییرات مستقیم در مدل PARENT را نمیدهد اما تابع SAVE() مدل PARENT را فراخوانی میکند و متعاقباً سبب فراخوانی سیگنال HANDLERهای قبل و بعد از ذخیرهسازی میشوند. به عنوان کاربری که اجازه تغییر یک مدل خاص را ندارد و به دنبال آن نباید اجازه فراخوانی سیگنالهای مربوط به ذخیرهسازی را داشتهباشد، این یک ارتقای سطح دسترسی محسوبمیشود.
برای رفع این آسیبپذیری کد رابط آدمین DJANGO که مجوزها را کنترل میکند، تغییر کردهاست. آن دسته از برنامهنویسانی که برنامههایشان تحتتاثیر این تغییر قرار گرفتهاست باید INLINEهای استفادهشده در مدلهای PARENT را با فرمها و VIEW هایی که عملکردشان بهطور صریح پیادهسازی شدهاست، جایگزین کنند.
جدول زیر اطلاعات مربوط به نسخههای آسیبپذیر و غیرآسیبپذیر PYTHON-DJANGO را نشان میدهد: