Platform
python
Component
django-select2
Opgelost in
8.4.2
8.4.1
CVE-2025-48383 is een kwetsbaarheid in de django-select2 bibliotheek, specifiek in de HeavySelect2Mixin subclasses zoals ModelSelect2MultipleWidget en ModelSelect2Widget. Deze kwetsbaarheid maakt het mogelijk dat secret toegangstokens over requests heen gelekt worden, wat kan leiden tot ongeautoriseerde toegang tot gevoelige data. De kwetsbaarheid treft versies van django-select2 tot en met 8.4.0, en is verholpen in versie 8.4.1 en latere versies.
De impact van deze kwetsbaarheid is significant. Een aanvaller kan, door het lekken van toegangstokens, ongeautoriseerde querysets en data benaderen. Dit kan leiden tot datalekken, manipulatie van data en mogelijk zelfs volledige controle over de applicatie. De kwetsbaarheid is vooral relevant in scenario's waar widget instances worden gecreëerd tijdens app loading, en niet tijdens een request. Dit maakt het mogelijk voor een aanvaller om de tokens te onderscheppen en te gebruiken voor ongeautoriseerde toegang.
Op het moment van publicatie (2025-05-27) is er geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn ook geen public proof-of-concepts bekend. De kwetsbaarheid is opgenomen in het NVD en CISA catalogus, wat de ernst ervan bevestigt. De EPSS score is nog niet bekend, maar de hoge CVSS score (8.2) duidt op een potentieel significant risico.
Applications using django-select2 versions 8.4.0 and earlier are at risk, particularly those that rely on access tokens for authorization and where widgets are initialized during application loading. Shared hosting environments utilizing vulnerable versions of django-select2 are also at increased risk.
• python / application: Examine application code for instances of HeavySelect2Mixin and related widgets. Check for unusual access token handling or storage.
# Example: Check for widget initialization during app loading
import inspect
import django
django.setup()
from .models import MyModel
from .forms import MyForm
# Check if MyForm's widgets are initialized during app loading
form = MyForm()
print(inspect.getmembers(form.fields['my_select_field'].widget))disclosure
Exploit Status
EPSS
0.29% (52% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar django-select2 versie 8.4.1 of hoger. Indien een upgrade direct niet mogelijk is, is het belangrijk om te controleren of widget instances worden gecreëerd tijdens app loading. Indien dit niet het geval is, is de kwetsbaarheid minder relevant. Daarnaast kan het implementeren van strikte toegangscontroles en het regelmatig roteren van toegangstokens helpen om de impact te beperken. Controleer na de upgrade of de fix correct is geïmplementeerd door te verifiëren dat toegangstokens niet langer gelekt worden.
Actualiseer de django-select2 bibliotheek naar versie 8.4.1 of hoger. Dit zal de secret access token leakage kwetsbaarheid oplossen. U kunt updaten met pip: `pip install django-select2==8.4.1`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48383 is een kwetsbaarheid in django-select2 waardoor secret toegangstokens gelekt kunnen worden, wat ongeautoriseerde toegang tot data mogelijk maakt.
Ja, als u django-select2 gebruikt in versie 8.4.0 of lager, bent u getroffen door deze kwetsbaarheid.
Upgrade django-select2 naar versie 8.4.1 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes, maar de hoge CVSS score duidt op een potentieel risico.
Raadpleeg de django-select2 documentatie en de NVD database voor meer informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.