ALT-PU-2025-13494-1

Обновление пакета python3-module-django в ветке sisyphus_riscv64

Версия5.2.7-alt1

Задание#0

Опубликовано2025-10-24

Макс. серьёзностьCRITICAL

Серьёзность:

Закрытые проблемы (4)

HIGH7.1

Уязвимость методов QuerySet.annotate(), QuerySet.alias(), QuerySet.aggregate(), and QuerySet.extra() программной платформы для веб-приложений Django, позволяющая нарушителю оказать влияние на конфиденциальность и целостность защищаемой информации

Опубликовано: 2025-10-03Изменено: 2025-12-26

CVSS 3.xВЫСОКАЯ 7.1

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N

CVSS 2.0СРЕДНЯЯ 5.6

CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:P/A:N

Ссылки

CVE-2025-59681

LOW3.1

Уязвимость функции django.utils.archive.extract() программной платформы для веб-приложений Django, позволяющая нарушителю обойти ограничения безопасности

Опубликовано: 2025-10-09Изменено: 2025-11-14

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0НИЗКАЯ 2.1

CVSS:2.0/AV:N/AC:H/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-59682

CRITICAL9.8

An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. QuerySet.annotate(), QuerySet.alias(), QuerySet.aggregate(), and QuerySet.extra() are subject to SQL injection in column aliases, when using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to these methods (on MySQL and MariaDB).

Опубликовано: 2025-10-01Изменено: 2025-11-04

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

MEDIUM6.5

An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The django.utils.archive.extract() function, used by the "startapp --template" and "startproject --template" commands, allows partial directory traversal via an archive with file paths sharing a common prefix with the target directory.

Опубликовано: 2025-10-01Изменено: 2025-11-04

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Ссылки