La vulnerabilidad, de tipo XSS, afecta a la validación del campo URL usado en los formularios del admin.
El equipo de Django ha publicado una actualización de seguridad que corrige una vulnerabilidad en el componente ‘AdminURLFieldWidget’ del admin. Este componente es utilizado para la construcción de los campos url de los formularios del modo edición.
La vulnerabilidad identificada como CVE-2019-12308 consiste en la falta de validación de la url introducida en dicho campo, la cual permitiría la explotación de un ataque XSS. Un atacante podría introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.
Para su explotación se requiere que un usuario que pertenezca al staff (es decir, con acceso al admin) acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo. Con el parche incluido, ahora el campo verifica si la URL es maliciosa al validar el formulario, e impide el renderizado de las URL sospechosas ya existentes.
LEER MAS: https://unaaldia.hispasec.com/2019/06/actualizacion-de-seguridad-para-el-panel-de-administracion-de-django.html