Katalog CVE

CVE-2026-6907

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach 6.0 przed 6.0.5 oraz 5.2 przed 5.2.14 odkryto problem w `django.middleware.cache.UpdateCacheMiddleware`, który błędnie buforuje żądania z nagłówkiem `Vary` zawierającym gwiazdkę (`'*'`). Może to prowadzić do przechowywania i serwowania prywatnych danych.

Ocena ryzyka

Organizacje mogą narażać się na wyciek prywatnych danych, co może prowadzić do naruszenia prywatności użytkowników oraz potencjalnych konsekwencji prawnych.

Rekomendacja

Zaleca się aktualizację do wersji Django 6.0.5 lub 5.2.14, aby usunąć tę podatność oraz przeglądanie i zabezpieczenie danych przechowywanych w pamięci podręcznej.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in 6.0 before 6.0.5 and 5.2 before 5.2.14. `django.middleware.cache.UpdateCacheMiddleware` erroneously caches requests where the `Vary` header contained an asterisk (`'*'`). This can lead to private data being stored and served. Earlier, unsupported Django series (such as 5.0

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS