CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-8404

LowCVSS 3.1
Published: Updated: Translated: NVD NIST

Summary

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie porównuje dyrektyw `Cache-Control` w sposób niewrażliwy na wielkość liter. To pozwala zdalnym atakującym na odczyt odpowiedzi, które zostały błędnie zbuforowane z powodu użycia wielkich lub mieszanych liter w dyrektywach `Cache-Control`.

Risk Assessment

Organizacje mogą być narażone na wyciek danych, ponieważ atakujący mogą uzyskać dostęp do odpowiedzi, które nie powinny być dostępne z powodu niewłaściwego buforowania. Wsparcie dla wcześniejszych wersji Django, które mogą być również dotknięte, nie jest zapewniane.

Recommendation

Zaleca się aktualizację Django do wersji 5.2.15 lub 6.0.6, aby usunąć tę podatność. Należy również rozważyć przegląd i aktualizację starszych, nieobsługiwanych wersji Django.

Original NVD description (English source)

An issue was discovered in Django 5.2 before 5.2.15 and 6.0 before 6.0.6. `django.middleware.cache.UpdateCacheMiddleware` in Django does not match `Cache-Control` response directives case-insensitively, which allows remote attackers to read responses that were incorrectly cached because their `Cache-Control` directives used uppercase or mixed-case values. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Ahmed Badawe for reporting this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS