Plattform
python
Komponente
django
Behoben in
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33033 is a Denial of Service (DoS) vulnerability affecting the Django web framework. A malicious actor can exploit this flaw by submitting multipart uploads with Content-Transfer-Encoding: base64 and excessive whitespace, leading to performance degradation. This vulnerability impacts Django versions 6.0.3 and earlier, 5.2.12 and earlier, and 4.2.29 and earlier; other unsupported versions may also be vulnerable. A patch is available in Django 6.0.4, 5.2.13, and 4.2.30.
Eine Denial-of-Service (DoS)-Schwachstelle wurde in Django identifiziert, die die Versionen 6.0 (vor 6.0.4), 5.2 (vor 5.2.13) und 4.2 (vor 4.2.30) betrifft. Die Komponente MultiPartParser ist anfällig für einen Angriff, bei dem ein Remote-Angreifer die Serverleistung beeinträchtigen kann, indem er Multipart-Uploads mit Content-Transfer-Encoding: base64 und übermäßigem Whitespace einreicht. Diese Manipulation kann erhebliche Serverressourcen verbrauchen, was zu Verlangsamungen oder sogar zur Unfähigkeit führt, auf andere Anfragen zu antworten. Obwohl nicht unterstützte Serien (wie 5.0.x, 4.1.x und 3.2.x) nicht bewertet wurden, könnten diese ebenfalls anfällig sein. Die Schwere dieser Schwachstelle wird mit CVSS 6.5 bewertet.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine HTTP-POST-Anfrage mit einem Multipart/form-data-Upload sendet. Der Upload würde mehrere Teile enthalten, die jeweils in Base64 mit einer erheblichen Menge an Whitespace vor oder nach den codierten Daten codiert sind. Der MultiPartParser von Django würde bei der Verarbeitung dieser Anfrage unverhältnismäßig viele Ressourcen für das Entfernen des Whitespace aufwenden, was den Server überlasten und einen Denial-of-Service verursachen könnte. Die einfache Ausnutzbarkeit liegt in der Einfachheit des Erstellens einer bösartigen HTTP-Anfrage und der breiten Verfügbarkeit von Tools dafür.
Exploit-Status
EPSS
0.13% (33% Perzentil)
CVSS-Vektor
Um diese Schwachstelle zu beheben, wird dringend empfohlen, auf die neueste Django-Version zu aktualisieren, die für Ihre Serie verfügbar ist: 6.0.4, 5.2.13 oder 4.2.30. Diese Versionen enthalten eine Korrektur, die behandelt, wie MultiPartParser Base64-Codierung mit übermäßigem Whitespace verarbeitet. Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. die maximale Größe von Multipart-Uploads zu begrenzen und die Serverressourcennutzung auf potenzielle DoS-Angriffe zu überwachen. Überprüfen und stärken Sie außerdem die Sicherheitsrichtlinien Ihrer Django-Anwendung, um die Eingabe von bösartigen Daten zu verhindern.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Die Versionen 6.0 (vor 6.0.4), 5.2 (vor 5.2.13) und 4.2 (vor 4.2.30) sind anfällig.
Verwenden Sie den Befehl pip install django==[neue_version], um auf die korrigierte Version zu aktualisieren. Zum Beispiel: pip install django==6.0.4.
Begrenzen Sie die maximale Größe von Multipart-Uploads und überwachen Sie die Serverressourcennutzung.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen, aber die Überwachung der Serverressourcennutzung kann helfen, potenzielle Angriffe zu identifizieren.
Seokchan Yoon hat diese Schwachstelle gemeldet.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.