CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-6873

LowCVSS 3.1
Published: Updated: Translated: NVD NIST

Summary

W Django w wersjach 6.0 przed 6.0.6 oraz 5.2 przed 5.2.15 zidentyfikowano problem związany z metodą `django.http.HttpRequest.get_signed_cookie`, która wykorzystuje nieiniektywną metodę pochodzenia soli. To pozwala zdalnemu atakującemu na użycie ciasteczka w kontekście różnym od tego, w którym zostało podpisane, poprzez różne pary `(nazwa, sól)`, które generują tę samą konkatenację.

Risk Assessment

Organizacje mogą być narażone na ataki, w których złośliwi użytkownicy mogą wykorzystać ciasteczka w nieautoryzowanych kontekstach, co może prowadzić do naruszenia integralności sesji użytkowników.

Recommendation

Zaleca się aktualizację Django do wersji 6.0.6 lub 5.2.15, aby usunąć tę podatność. Należy również rozważyć przegląd i aktualizację wcześniejszych, nieobsługiwanych wersji Django, które mogą być również podatne.

Original NVD description (English source)

An issue was discovered in Django 6.0 before 6.0.6 and 5.2 before 5.2.15. `django.http.HttpRequest.get_signed_cookie` in Django uses a non-injective salt derivation (concatenating the cookie name and salt argument), which allows a remote attacker to use a cookie in a context different from the one where it was signed, via distinct `(name, salt)` pairs that produce the same concatenation. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Peng Zhou for reporting this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS