Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a EmailValidator y URLValidator de Django, que permitiría a un atacante remoto realizar denegación de servicio (DoS) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-36053, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en las funciones EmailValidator y URLValidator de Django. Esto permitiría a un atacante realizar denegación de servicio (DoS) de expresiones regulares en el sistema afectado, a través de una gran cantidad de etiquetas de nombres de dominios de correos electrónicos y URLs.
Las versiones afectadas son:
- Django 3.2 y anteriores a 3.2.20.
- Django 4.1 y anteriores a 4.1.10.
- Django 4.2 y anteriores a 4.2.3.
Recomendamos acceder a las actualizaciones correspondientes a cada versión proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://www.redpacketsecurity.com/django-emailvalidator-and-urlvalidator-denial-of-service-cve-2023-36053/
- https://nvd.nist.gov/vuln/detail/CVE-2023-36053
- https://www.djangoproject.com/m/releases/4.2/Django-4.2.3.tar.gz
- https://www.djangoproject.com/m/releases/4.1/Django-4.1.10.tar.gz
- https://www.djangoproject.com/m/releases/3.2/Django-3.2.20.tar.gz