Plattform
python
Komponente
django
Behoben in
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-4292 is a security vulnerability affecting Django admin changelist forms. This issue allows attackers to create new instances of models through forged POST data, potentially leading to unauthorized data manipulation and system compromise. The vulnerability impacts Django versions 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30, with earlier unsupported versions potentially also affected. A patch is available for Django 6.0.4.
Eine Sicherheitslücke wurde in Django entdeckt, insbesondere in Admin-Listenansichten, die ModelAdmin.list_editable verwenden. Vor den Versionen 6.0.4, 5.2.13 und 4.2.30 konnte ein Angreifer neue Dateninstanzen erstellen, indem er gefälschte POST-Daten übermittelte. Dies liegt an einer fehlerhaften Validierung der Daten während des Instanzerstellungsprozesses. Obwohl die Versionen 5.0.x, 4.1.x und 3.2.x nicht direkt evaluiert wurden, könnten diese ebenfalls anfällig sein. Die Schwere dieser Schwachstelle liegt in ihrer Fähigkeit, die unautorisierte Erstellung von Datensätzen in der Datenbank über die Admin-Oberfläche zu ermöglichen, was die Datenintegrität und die Sicherheit der Anwendung gefährden könnte.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein bösartiges POST-Formular erstellt, das Daten enthält, die dazu dienen, eine neue Modellinstanz über ModelAdmin.list_editable zu erstellen. Durch die Manipulation der POST-Daten könnte der Angreifer die Standardvalidierungen umgehen und gefälschte Datensätze in der Datenbank erstellen. Diese Ausnutzung ist wahrscheinlicher in Umgebungen, in denen die Admin-Oberfläche nicht ausreichend geschützt ist oder in denen Benutzer übermäßige Berechtigungen verfügen. Das Fehlen einer ordnungsgemäßen Validierung bei der Verarbeitung von POST-Daten ist die Hauptursache für diese Schwachstelle.
Exploit-Status
EPSS
0.01% (2% Perzentil)
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Django auf eine sichere Version zu aktualisieren. Wir empfehlen dringend, auf Version 6.0.4 oder höher, 5.2.13 oder höher oder 4.2.30 oder höher zu aktualisieren. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code, der ModelAdmin.list_editable verwendet, sorgfältig und implementieren Sie zusätzliche Validierungen, um sicherzustellen, dass die empfangenen Daten gültig sind und keine unautorisierte Instanzerstellung ermöglichen. Beschränken Sie außerdem den Zugriff auf die Admin-Oberfläche auf autorisierte Benutzer und überwachen Sie die Anwendungs-Logs auf verdächtige Aktivitäten. Cantina hat diese Schwachstelle gemeldet, und Django dankt ihnen für ihren Beitrag zur Verbesserung der Sicherheit der Plattform.
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Betroffene Versionen sind Django 6.0 vor 6.0.4, 5.2 vor 5.2.13 und 4.2 vor 4.2.30. Die Versionen 5.0.x, 4.1.x und 3.2.x könnten ebenfalls anfällig sein, obwohl sie nicht direkt evaluiert wurden.
Sie können Django mit pip install django==[neue_version] oder über das Paketverwaltungssystem Ihres Betriebssystems aktualisieren.
Wenn Sie nicht sofort aktualisieren können, überprüfen Sie den Code, der ModelAdmin.list_editable verwendet, und implementieren Sie zusätzliche Validierungen.
Cantina hat diese Schwachstelle an Django gemeldet.
Überprüfen Sie die Django-Versionen, die Sie verwenden, und vergleichen Sie sie mit den betroffenen Versionen. Sie können auch den Code überprüfen, der ModelAdmin.list_editable verwendet, auf mögliche Schwachstellen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.