Django-Unicorn که برای اضافه کردن قابلیتهای واکنشگرا (Reactive) به قالبهای Django استفاده میشود، دارای یک آسیبپذیری جدی با شناسهی CVE-2025-24370 و امتیاز 9.3 (بحرانی) است. در نسخههای آسیبپذیر این ابزار، یک مشکل امنیتی به نام آلودگی کلاسهای پایتون (Python Class Pollution) در تابع اصلی set_property_value وجود دارد. مهاجمان میتوانند از راه دور با ارسال درخواستهای خاص، مقادیر دلخواهی را به پارامترهای دوم و سوم این تابع وارد کنند. این اقدام منجر به تغییرات غیرمجاز در وضعیت اجرای برنامهی پایتون میشود.
بررسیها نشان داده که این آسیبپذیری میتواند منجر به حملات XSS ،DoS و Authentication Bypass شود. تقریباً تمام برنامههایی که بر اساس Django-Unicorn ساخته شدهاند، در معرض این خطر هستند.
این مشکل در نسخهی 0.62.0 برطرف شده است. بنابراین، همهی کاربران باید هرچه سریعتر نسخهی خود را بهروزرسانی کنند. در حال حاضر، بجز بهروزرسانی، راهحل جایگزینی برای این آسیبپذیری وجود ندارد.
محصولات آسیبپذیر
نسخههای آسیبپذیر عبارتند از:
- تمام نسخههای Django-Unicorn شامل 0.61.0 و قبل از آن
توصیههای امنیتی
به کاربران توصیه میشود که این پلتفرم را هر چه سریعتر به آخرین نسخه بهروزرسانی کنند.
منابع خبر:
- 71