Fallo medio de Cross Site Scripting en el framework REST de Django
Fecha: 07/Oct/2020
Resumen:
Se reporta un fallo medio de Cross Site Scripting en el framework REST de Django con CVE-2020-25626, este fallo se debe a que el software no filtra correctamente ciertos parámetros proporcionados por el usuario.
Esta vulnerabilidad afecta a versiones anteriores a la 3.11.2 y 3.12.0 de Django REST Framework. Esto podría permitir a un atacante inyectar etiquetas maliciosas y, de esta forma, explotar la vulnerabilidad XSS de manera remota sin necesidad de autenticación.
El fabricante lanzó el parche de seguridad que elimina la vulnerabilidad XSS en algunos tipos de contenido de la API navegable. Por lo que es recomendable actualizar a las versiones 3.11.2 y 3.12.0 disponibles en su página oficial, cuanto antes.
Referencias:
https://unaaldia.hispasec.com/2020/10/vulnerabilidad-xss-en-django-rest-framework.html