Django présente un potentiel DoS via MultiPartParser par le biais de téléversements multipartisés malveillants
Plateforme
python
Composant
django
Corrigé dans
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
La vulnérabilité CVE-2026-33033 concerne Django, un framework web Python. Elle permet à des attaquants distants de dégrader les performances du serveur en soumettant des uploads multipart avec l'encodage Content-Transfer-Encoding: base64 contenant un excès d'espaces blancs. Cette vulnérabilité affecte les versions de Django 6.0 antérieures à 6.0.4, 5.2 antérieures à 5.2.13 et 4.2 antérieures à 4.2.30. Une correction est disponible dans la version 6.0.4.
Détecte cette CVE dans ton projet
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
Une vulnérabilité de déni de service (DoS) a été identifiée dans Django, affectant les versions 6.0 (antérieures à 6.0.4), 5.2 (antérieures à 5.2.13) et 4.2 (antérieures à 4.2.30). Le composant MultiPartParser est susceptible à une attaque où un attaquant distant peut dégrader les performances du serveur en soumettant des téléchargements multipartes avec Content-Transfer-Encoding: base64 incluant des espaces blancs excessifs. Cette manipulation peut consommer des ressources serveur importantes, entraînant un ralentissement ou même l'incapacité de répondre à d'autres requêtes. Bien que les séries non prises en charge (telles que 5.0.x, 4.1.x et 3.2.x) n'aient pas été évaluées, elles peuvent également être vulnérables. La gravité de cette vulnérabilité est notée CVSS 6.5.
Contexte d'Exploitation
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP POST avec un téléchargement multipart/form-data. Le téléchargement contiendrait plusieurs parties, chacune codée en base64 avec une quantité importante d'espaces blancs avant ou après les données codées. Le MultiPartParser de Django, lors du traitement de cette requête, dépenserait une quantité disproportionnée de ressources pour supprimer les espaces blancs, ce qui pourrait surcharger le serveur et provoquer un déni de service. La facilité d'exploitation réside dans la simplicité de la construction d'une requête HTTP malveillante et la large disponibilité d'outils pour le faire.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
Pour atténuer cette vulnérabilité, il est fortement recommandé de mettre à jour vers la dernière version de Django disponible pour votre série : 6.0.4, 5.2.13 ou 4.2.30. Ces versions incluent une correction qui traite de la manière dont MultiPartParser gère le codage base64 avec des espaces blancs excessifs. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la limitation de la taille maximale des téléchargements multipartes et la surveillance de l'utilisation des ressources serveur pour les attaques DoS potentielles. Renforcez également les politiques de sécurité de votre application Django pour empêcher l'entrée de données malveillantes.
Comment corrigertraduction en cours…
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-33033 — DoS dans django ?
Les versions 6.0 (antérieures à 6.0.4), 5.2 (antérieures à 5.2.13) et 4.2 (antérieures à 4.2.30) sont vulnérables.
Suis-je affecté(e) par CVE-2026-33033 dans django ?
Utilisez la commande pip install django==[nouvelle_version] pour mettre à jour vers la version corrigée. Par exemple : pip install django==6.0.4.
Comment corriger CVE-2026-33033 dans django ?
Limitez la taille maximale des téléchargements multipartes et surveillez l'utilisation des ressources serveur.
CVE-2026-33033 est-il activement exploité ?
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance de l'utilisation des ressources serveur peut aider à identifier les attaques potentielles.
Où trouver l'avis officiel de django pour CVE-2026-33033 ?
Seokchan Yoon a signalé cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.