Katalog CVE

CVE-2026-8404

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie porównuje dyrektyw `Cache-Control` w sposób niewrażliwy na wielkość liter. To pozwala zdalnym atakującym na odczyt odpowiedzi, które zostały błędnie zbuforowane z powodu użycia wielkich lub mieszanych liter w dyrektywach `Cache-Control`.

Ocena ryzyka

Organizacje mogą być narażone na wyciek danych, ponieważ atakujący mogą uzyskać dostęp do odpowiedzi, które nie powinny być dostępne z powodu niewłaściwego buforowania. Wsparcie dla wcześniejszych wersji Django, które mogą być również dotknięte, nie jest zapewniane.

Rekomendacja

Zaleca się aktualizację Django do wersji 5.2.15 lub 6.0.6, aby usunąć tę podatność. Należy również rozważyć przegląd i aktualizację starszych, nieobsługiwanych wersji Django.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Django 5.2 before 5.2.15 and 6.0 before 6.0.6. `django.middleware.cache.UpdateCacheMiddleware` in Django does not match `Cache-Control` response directives case-insensitively, which allows remote attackers to read responses that were incorrectly cached because their `Cache-Control` directives used uppercase or mixed-case values. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Ahmed Badawe for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS