๐ Django 1.8.13/1.9.7 Admin Interface views/debug.py innerHTML Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Eine Schwachstelle wurde in Django 1.8.13/1.9.7 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Datei views/debug.py der Komponente Admin Interface. Durch das Beeinflussen des Arguments innerHTML
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf die Integrität.
Die Schwachstelle wurde am 18.07.2016 von Vulnerability Laboratory als Django security releases issued: 1.10 release candidate 1, 1.9.8, and 1.8.14 in Form eines bestätigten Newss (Website) herausgegeben. Auf djangoproject.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit dem Projektteam angestrebt. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-6186 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Der folgende Code ist die Ursache des Problems:
s.innerHTML = s.innerHTML == uarr ? darr : uarr;Das Advisory weist darauf hin:
Unsafe usage of JavaScript's Element.innerHTML could result in XSS in the admin's add/change related popup. Element.textContent is now used to prevent execution of the data. The debug view also used innerHTML. Although a security issue wasn't identified there, out of an abundance of caution it's also updated to use textContent.
Ein Aktualisieren auf die Version 1.8.14 oder 1.9.8 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demzufolge unmittelbar gehandelt. Die Schwachstelle wird durch folgenden Code angegangen:
s.textContent = s.textContent == uarr ? darr : uarr;
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036338) dokumentiert.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Django 1.8.14/1.9.8
Patch: github.com
Timeline
18.07.2016 Advisory veröffentlicht18.07.2016 Gegenmassnahme veröffentlicht
18.07.2016 SecurityTracker Eintrag erstellt
20.07.2016 VulDB Eintrag erstellt
20.07.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: Django security releases issued: 1.10 release candidate 1, 1.9.8, and 1.8.14Firma: Vulnerability Laboratory
Status: Bestätigt
Koordiniert: Ja
CVE: CVE-2016-6186 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1036338 - Django Input Validation Flaw in Administrator Add/Change Popup Lets Remote Conduct Cross-Site Scripting Attacks
Eintrag
Erstellt: 20.07.2016Eintrag: 79.8% komplett
...