Python Library Django 4.2.x < 4.2.30 / 5.2.x < 5.2.13 / 6.0.x < 6.0.4 複数の脆弱性
critical Nessus プラグイン ID 305750
Language:
概要
リモートホストにインストールされている Python ライブラリは、複数の脆弱性の影響を受けます。説明
Django Python パッケージの検出されたバージョンは、 4.2.30より前の 4.2.x 、 5.2.x5.2.13より前の ]、または 6.0.x より前の 6.0.4です。そのため、以下を含む複数の脆弱性による影響を受けます:- ASGIRequest により、リモートの攻撃者が、アンダースコア付きの単一のバージョンに対する、2 つのヘッダーバリアント (ハイフン付きまたはアンダースコア付き) の曖昧なマッピングを悪用することで、ヘッダーを偽装することができます。CVE-2026-3902
- Content-Length ヘッダーが欠落しているか、削除されている ASGI リクエストが、HttpRequest.body を読み取る際に DATA_UPLOAD_MAX_MEMORY_SIZE 制限をバイパスする可能性があります。これにより、リモートの攻撃者が、際限のないリクエスト本文をメモリにロードする可能性があります。CVE-2026-33034
- MultiPartParser により、リモートの攻撃者が、過剰な空白を含む Content-Transfer-Encoding: base64 でマルチパートアップロードを送信することで、パフォーマンスを低下させます。CVE-2026-33033
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Django バージョン 4.2.30、5.2.13、6.0.4 以降にアップグレードしてください。参考資料
https://www.djangoproject.com/weblog/2026/apr/07/security-releases/
プラグインの詳細
深刻度: Critical
ID: 305750
ファイル名: python_django_6_0_4.nasl
バージョン: 1.3
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/4/9
更新日: 2026/4/13
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS スコアのソース: CVE-2026-3902
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2026-4277
脆弱性情報
CPE: cpe:/a:djangoproject:django
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/4/7
脆弱性公開日: 2026/4/7
参照情報
CVE: CVE-2026-33033, CVE-2026-33034, CVE-2026-3902, CVE-2026-4277, CVE-2026-4292
IAVA: 2026-A-0307