CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-7666

LowCVSS 3.1
Published: Updated: Translated: NVD NIST

Summary

W Django 6.0 przed wersją 6.0.6 oraz 5.2 przed wersją 5.2.15 występuje problem z `django.core.mail.backends.smtp.EmailBackend`, który nie zapobiega ponownemu użyciu częściowo zainicjowanej koneksji po nieudanym handshake `STARTTLS` przy ustawieniu `fail_silently=True. To umożliwia atakującym na ścieżce sieciowej odczytanie treści e-maili poprzez przechwytywanie w czystym tekście.

Risk Assessment

Organizacje mogą być narażone na ryzyko przechwytywania poufnych informacji zawartych w e-mailach, co może prowadzić do wycieku danych i naruszenia prywatności.

Recommendation

Zaleca się aktualizację Django do wersji 6.0.6 lub 5.2.15, aby zniwelować ryzyko związane z tą podatnością. Należy również rozważyć ocenę starszych, nieobsługiwanych wersji Django, które mogą być również podatne.

Original NVD description (English source)

An issue was discovered in Django 6.0 before 6.0.6 and 5.2 before 5.2.15. `django.core.mail.backends.smtp.EmailBackend` in Django fails to prevent reuse of a partially-initialized connection after a failed `STARTTLS` handshake when `fail_silently=True`, which allows on-path network attackers to read email content via cleartext interception. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Kasper Dupont for reporting this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS