Python Library Django 4.2.x < 4.2.30 / 5.2.x < 5.2.13 / 6.0.x < 6.0.4 複数の脆弱性

high Nessus プラグイン ID 305750

Language:

概要

リモートホストにインストールされている Python ライブラリは、複数の脆弱性の影響を受けます。

説明

Django Python パッケージの検出されたバージョンは、 4.2.30より前の 4.2.x 、 5.2.x5.2.13より前の ]、または 6.0.x より前の 6.0.4です。そのため、以下を含む複数の脆弱性による影響を受けます:

- ASGIRequest により、リモートの攻撃者が、アンダースコア付きの単一のバージョンに対する、2 つのヘッダーバリアント (ハイフン付きまたはアンダースコア付き) の曖昧なマッピングを悪用することで、ヘッダーを偽装することができます。CVE-2026-3902

- Content-Length ヘッダーが欠落しているか、削除されている ASGI リクエストが、HttpRequest.body を読み取る際に DATA_UPLOAD_MAX_MEMORY_SIZE 制限をバイパスする可能性があります。これにより、リモートの攻撃者が、際限のないリクエスト本文をメモリにロードする可能性があります。CVE-2026-33034

- MultiPartParser により、リモートの攻撃者が、過剰な空白を含む Content-Transfer-Encoding: base64 でマルチパートアップロードを送信することで、パフォーマンスを低下させます。CVE-2026-33033

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。