प्लेटफ़ॉर्म
python
घटक
django-select2
में ठीक किया गया
8.4.2
8.4.1
CVE-2025-48383 django-select2 में एक गंभीर भेद्यता है, जहाँ HeavySelect2Mixin उपवर्गों जैसे ModelSelect2MultipleWidget और ModelSelect2Widget गुप्त एक्सेस टोकन को अनुरोधों के बीच लीक कर सकते हैं। यह भेद्यता उपयोगकर्ताओं को प्रतिबंधित क्वेरीसेट और प्रतिबंधित डेटा तक पहुंचने की अनुमति दे सकती है। यह संस्करण 8.4.0 और उससे पहले के संस्करणों को प्रभावित करता है, और इसे संस्करण 8.4.1 और बाद के संस्करणों में ठीक किया गया है।
यह भेद्यता गंभीर है क्योंकि यह हमलावरों को संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। एक हमलावर गुप्त एक्सेस टोकन को इंटरसेप्ट करके प्रतिबंधित क्वेरीसेट तक पहुंच प्राप्त कर सकता है, जिससे वे डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए हानिकारक है जो डेटा सुरक्षा के लिए एक्सेस टोकन पर निर्भर करते हैं। हमलावर डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं, जिससे डेटा उल्लंघन और गोपनीयता का उल्लंघन हो सकता है। इस भेद्यता का उपयोग डेटा को बदलने या हटाने के लिए भी किया जा सकता है, जिससे सिस्टम की उपलब्धता प्रभावित हो सकती है।
CVE-2025-48383 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हो सकते हैं। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल करने की संभावना पर विचार किया हो सकता है।
Applications using django-select2 versions 8.4.0 and earlier are at risk, particularly those that rely on access tokens for authorization and where widgets are initialized during application loading. Shared hosting environments utilizing vulnerable versions of django-select2 are also at increased risk.
• python / application: Examine application code for instances of HeavySelect2Mixin and related widgets. Check for unusual access token handling or storage.
# Example: Check for widget initialization during app loading
import inspect
import django
django.setup()
from .models import MyModel
from .forms import MyForm
# Check if MyForm's widgets are initialized during app loading
form = MyForm()
print(inspect.getmembers(form.fields['my_select_field'].widget))disclosure
एक्सप्लॉइट स्थिति
EPSS
0.29% (52% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-48383 को कम करने के लिए, django-select2 को संस्करण 8.4.1 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, उन उपयोग मामलों को सीमित करें जहां विजेट क्लास के उदाहरण ऐप लोडिंग के दौरान बनाए जाते हैं, न कि अनुरोध के दौरान। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके एक्सेस टोकन को इंटरसेप्ट करने के प्रयासों का पता लगाया जा सकता है और उन्हें अवरुद्ध किया जा सकता है। इसके अतिरिक्त, नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग से संभावित कमजोरियों की पहचान करने में मदद मिल सकती है।
django-select2 लाइब्रेरी को संस्करण 8.4.1 या उच्चतर में अपडेट करें। यह सीक्रेट एक्सेस टोकन लीक के भेद्यता को ठीक कर देगा। आप pip का उपयोग करके अपडेट कर सकते हैं: `pip install django-select2==8.4.1`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-48383 django-select2 में एक भेद्यता है जहाँ गुप्त एक्सेस टोकन लीक हो सकते हैं, जिससे प्रतिबंधित डेटा तक पहुंच संभव है।
यदि आप django-select2 के संस्करण 8.4.0 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
django-select2 को संस्करण 8.4.1 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-48383 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
कृपया django-select2 परियोजना की वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।