CVE-2026-35193
LowCVSS 3.1Summary
W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie dodaje nagłówka `Authorization` do nagłówka odpowiedzi `Vary` dla żądań zawierających ten nagłówek bez `Cache-Control: public`. To umożliwia zdalnym atakującym odczyt prywatnych odpowiedzi z pamięci podręcznej za pomocą nieautoryzowanych żądań do tego samego URL.
Risk Assessment
Organizacje mogą być narażone na wyciek prywatnych danych, ponieważ atakujący mogą uzyskać dostęp do odpowiedzi z pamięci podręcznej, które powinny być chronione. Wersje Django, które nie są już wspierane, mogą również być podatne na tę lukę.
Recommendation
Zaleca się aktualizację Django do wersji 5.2.15 lub 6.0.6, aby zabezpieczyć aplikacje przed tym problemem. Należy również rozważyć przegląd i aktualizację starszych, nieobsługiwanych wersji Django.
Original NVD description (English source)
An issue was discovered in Django 5.2 before 5.2.15 and 6.0 before 6.0.6. `django.middleware.cache.UpdateCacheMiddleware` in Django does not add `Authorization` to the `Vary` response header for requests bearing that header without `Cache-Control: public`, which allows remote attackers to read private cached responses via unauthenticated requests to the same URL. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Shai Berger for reporting this issue.

