Plateforme
python
Composant
django
Corrigé dans
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
La vulnérabilité CVE-2026-33033 concerne Django, un framework web Python. Elle permet à des attaquants distants de dégrader les performances du serveur en soumettant des uploads multipart avec l'encodage Content-Transfer-Encoding: base64 contenant un excès d'espaces blancs. Cette vulnérabilité affecte les versions de Django 6.0 antérieures à 6.0.4, 5.2 antérieures à 5.2.13 et 4.2 antérieures à 4.2.30. Une correction est disponible dans la version 6.0.4.
Une vulnérabilité de déni de service (DoS) a été identifiée dans Django, affectant les versions 6.0 (antérieures à 6.0.4), 5.2 (antérieures à 5.2.13) et 4.2 (antérieures à 4.2.30). Le composant MultiPartParser est susceptible à une attaque où un attaquant distant peut dégrader les performances du serveur en soumettant des téléchargements multipartes avec Content-Transfer-Encoding: base64 incluant des espaces blancs excessifs. Cette manipulation peut consommer des ressources serveur importantes, entraînant un ralentissement ou même l'incapacité de répondre à d'autres requêtes. Bien que les séries non prises en charge (telles que 5.0.x, 4.1.x et 3.2.x) n'aient pas été évaluées, elles peuvent également être vulnérables. La gravité de cette vulnérabilité est notée CVSS 6.5.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP POST avec un téléchargement multipart/form-data. Le téléchargement contiendrait plusieurs parties, chacune codée en base64 avec une quantité importante d'espaces blancs avant ou après les données codées. Le MultiPartParser de Django, lors du traitement de cette requête, dépenserait une quantité disproportionnée de ressources pour supprimer les espaces blancs, ce qui pourrait surcharger le serveur et provoquer un déni de service. La facilité d'exploitation réside dans la simplicité de la construction d'une requête HTTP malveillante et la large disponibilité d'outils pour le faire.
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
Vecteur CVSS
Pour atténuer cette vulnérabilité, il est fortement recommandé de mettre à jour vers la dernière version de Django disponible pour votre série : 6.0.4, 5.2.13 ou 4.2.30. Ces versions incluent une correction qui traite de la manière dont MultiPartParser gère le codage base64 avec des espaces blancs excessifs. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la limitation de la taille maximale des téléchargements multipartes et la surveillance de l'utilisation des ressources serveur pour les attaques DoS potentielles. Renforcez également les politiques de sécurité de votre application Django pour empêcher l'entrée de données malveillantes.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions 6.0 (antérieures à 6.0.4), 5.2 (antérieures à 5.2.13) et 4.2 (antérieures à 4.2.30) sont vulnérables.
Utilisez la commande pip install django==[nouvelle_version] pour mettre à jour vers la version corrigée. Par exemple : pip install django==6.0.4.
Limitez la taille maximale des téléchargements multipartes et surveillez l'utilisation des ressources serveur.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance de l'utilisation des ressources serveur peut aider à identifier les attaques potentielles.
Seokchan Yoon a signalé cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.