CVE-2026-4277
KrytyczneStreszczenie
W wersjach 6.0 przed 6.0.4, 5.2 przed 5.2.13 oraz 4.2 przed 4.2.30 odkryto problem związany z brakiem walidacji uprawnień dla instancji modeli inline podczas przesyłania sfałszowanych danych `POST` w `GenericInlineModelAdmin`. Starsze, nieobsługiwane wersje Django (takie jak 5.0.x, 4.1.x i 3.2.x) mogły również być dotknięte tą podatnością.
Ocena ryzyka
Brak walidacji uprawnień może prowadzić do nieautoryzowanego dostępu do danych i funkcji w aplikacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Django, aby usunąć tę podatność oraz przeprowadzenie audytu uprawnień w aplikacji, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Add permissions on inline model instances were not validated on submission of forged `POST` data in `GenericInlineModelAdmin`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank N05ec@LZU-DSLab for reporting this issue.

