Plateforme
python
Composant
django
Corrigé dans
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
La vulnérabilité CVE-2026-4292 affecte Django versions 6.0 antérieures à 6.0.4, 5.2 antérieures à 5.2.13 et 4.2 antérieures à 4.2.30. Elle permet la création d'instances de modèles via des requêtes POST forgées dans les formulaires de liste d'administration utilisant ModelAdmin.list_editable. Cette faille peut entraîner la création non autorisée de données. Une version corrigée est disponible : 6.0.4.
Une vulnérabilité de sécurité a été identifiée dans Django, notamment dans les pages de listes d'administration utilisant ModelAdmin.list_editable. Avant les versions 6.0.4, 5.2.13 et 4.2.30, un attaquant pouvait créer de nouvelles instances de données en falsifiant les données POST. Cela est dû à une validation incorrecte des données lors du processus de création d'instances. Bien que les versions 5.0.x, 4.1.x et 3.2.x n'aient pas été évaluées directement, elles pourraient également être vulnérables. La gravité de cette vulnérabilité réside dans sa capacité à permettre la création non autorisée d'enregistrements dans la base de données via l'interface d'administration, compromettant potentiellement l'intégrité des données et la sécurité de l'application.
Un attaquant pourrait exploiter cette vulnérabilité en créant un formulaire POST malveillant contenant des données conçues pour créer une nouvelle instance de modèle via ModelAdmin.list_editable. En manipulant les données POST, l'attaquant pourrait contourner les validations standard et créer de faux enregistrements dans la base de données. Cette exploitation est plus probable dans les environnements où l'interface d'administration n'est pas adéquatement protégée ou où les utilisateurs ont des permissions excessives. Le manque de validation appropriée dans le traitement des données POST est la cause première de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour Django vers une version sécurisée. Nous recommandons fortement de passer à la version 6.0.4 ou supérieure, 5.2.13 ou supérieure, ou 4.2.30 ou supérieure. Si une mise à jour immédiate n'est pas possible, examinez attentivement le code qui utilise ModelAdmin.list_editable et mettez en œuvre des validations supplémentaires pour garantir que les données reçues sont valides et n'autorisent pas la création d'instances non autorisées. De plus, restreignez l'accès à l'interface d'administration aux utilisateurs autorisés et surveillez les journaux de l'application à la recherche d'activités suspectes. Cantina a signalé cette vulnérabilité, et Django les remercie de leur contribution à l'amélioration de la sécurité de la plateforme.
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions concernées sont Django 6.0 avant 6.0.4, 5.2 avant 5.2.13 et 4.2 avant 4.2.30. Les versions 5.0.x, 4.1.x et 3.2.x peuvent également être vulnérables, bien qu'elles n'aient pas été évaluées directement.
Vous pouvez mettre à jour Django en utilisant pip install django==[nouvelle_version] ou via le système de gestion de paquets de votre système d'exploitation.
Si vous ne pouvez pas mettre à jour immédiatement, examinez le code qui utilise ModelAdmin.list_editable et mettez en œuvre des validations supplémentaires.
Cantina a signalé cette vulnérabilité à Django.
Vérifiez les versions de Django que vous utilisez et comparez-les aux versions concernées. Vous pouvez également examiner le code qui utilise ModelAdmin.list_editable pour détecter d'éventuelles vulnérabilités.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.