Katalog CVE

CVE-2026-7666

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Django 6.0 przed wersją 6.0.6 oraz 5.2 przed wersją 5.2.15 występuje problem z `django.core.mail.backends.smtp.EmailBackend`, który nie zapobiega ponownemu użyciu częściowo zainicjowanej koneksji po nieudanym handshake `STARTTLS` przy ustawieniu `fail_silently=True. To umożliwia atakującym na ścieżce sieciowej odczytanie treści e-maili poprzez przechwytywanie w czystym tekście.

Ocena ryzyka

Organizacje mogą być narażone na ryzyko przechwytywania poufnych informacji zawartych w e-mailach, co może prowadzić do wycieku danych i naruszenia prywatności.

Rekomendacja

Zaleca się aktualizację Django do wersji 6.0.6 lub 5.2.15, aby zniwelować ryzyko związane z tą podatnością. Należy również rozważyć ocenę starszych, nieobsługiwanych wersji Django, które mogą być również podatne.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Django 6.0 before 6.0.6 and 5.2 before 5.2.15. `django.core.mail.backends.smtp.EmailBackend` in Django fails to prevent reuse of a partially-initialized connection after a failed `STARTTLS` handshake when `fail_silently=True`, which allows on-path network attackers to read email content via cleartext interception. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Kasper Dupont for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS