Katalog CVE

CVE-2026-42196

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

django-s3file przed wersją 7.0.2 jest podatny na ataki typu traversal, które pozwalają atakującemu na ucieczkę z pre-signed upload locations i załadowanie plików z losowych lokalizacji do request.FILES. Może to prowadzić do problemów z poufnością i integralnością danych.

Ocena ryzyka

Organizacje mogą być narażone na wyciek danych oraz naruszenie integralności, co może skutkować poważnymi konsekwencjami prawnymi i reputacyjnymi.

Rekomendacja

Zaleca się aktualizację django-s3file do wersji 7.0.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

django-s3file is a lightweight file upload input for Django and Amazon S3. Prior to 7.0.2, S3FileMiddleware is vulnerable to relative path traversal attacks, where an attacker can use a modified request to escape pre-signed upload locations and have the Django application load files from random locations into request.FILES. Depending on how files are handled, this may lead to confidentiality and integrity issues. This vulnerability is fixed in 7.0.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS