Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad Cross-Site Scripting en Django MarkdownX

Fecha de publicación 08/03/2024
Identificador
INCIBE-2024-0127
Importancia
3 - Media
Recursos Afectados

Django MarkdownX, versión 4.0.2.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Django MarkdownX, versión 4.0.2, un complemento de Markdown creado para Django, el framework web de alto nivel de Python, la cual ha sido descubierta por Julián J. Menéndez, de Hispasec Sistemas.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-2319: 5.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | CWE-79.
Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-2319: vulnerabilidad de Cross-Site Scripting (XSS) en el proyecto Django MarkdownX, que afecta a la versión 4.0.2. Un atacante podría almacenar una carga útil de JavaScript especialmente diseñada en la funcionalidad upload debido a la falta de un saneamiento adecuado de los elementos de JavaScript.

Listado de referencias
Proyecto de Django MarkdownX
Etiquetas