Vulnerabilità: CVE-2020-5224

In Django User Sessions (django-utente-sessions) prima 1.7.1, il punto di vista forniti consentono agli utenti di terminare le sessioni specifiche. La chiave di sessione viene utilizzato per identificare le sessioni, e quindi incluso nel rendering HTML. Di per sé questo non è un problema. Tuttavia, se il sito ha una vulnerabilità XSS, la chiave di sessione potrebbe essere estratto da un aggressore e un cambio di gestione sessione potrebbe accadere.


https://github.com/Bouke/django-user-sessions/security/advisories/GHSA-5fq8-3q2f-4m5g
https://github.com/jazzband/django-user-sessions/commit/f0c4077e7d1436ba6d721af85cee89222ca5d2d9
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5224


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi