मुफ्त स्कैन करें
MEDIUMCVE-2026-33033CVSS 6.5

Django में तैयार मल्टीपार्ट अपलोड के माध्यम से संभावित DoS (Denial of Service) हो सकता है

प्लेटफ़ॉर्म

python

घटक

django

में ठीक किया गया

6.0.4

5.2.13

4.2.30

6.0.4

4.2.30

4.2.30

AI Confidence: highNVDEPSS 0.1%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-33033 is a Denial of Service (DoS) vulnerability affecting the Django web framework. A malicious actor can exploit this flaw by submitting multipart uploads with Content-Transfer-Encoding: base64 and excessive whitespace, leading to performance degradation. This vulnerability impacts Django versions 6.0.3 and earlier, 5.2.12 and earlier, and 4.2.29 and earlier; other unsupported versions may also be vulnerable. A patch is available in Django 6.0.4, 5.2.13, and 4.2.30.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

Django में एक भेद्यता (vulnerability) की पहचान की गई है, जो संस्करण 6.0 (6.0.4 से पहले), 5.2 (5.2.13 से पहले), और 4.2 (4.2.30 से पहले) को प्रभावित करती है। MultiPartParser घटक एक ऐसे हमले के प्रति संवेदनशील है जिसमें एक दूरस्थ हमलावर Content-Transfer-Encoding: base64 के साथ अत्यधिक रिक्त स्थान (whitespace) युक्त मल्टीपार्ट अपलोड सबमिट करके सर्वर के प्रदर्शन को कम कर सकता है। यह हेरफेर सर्वर संसाधनों की महत्वपूर्ण मात्रा का उपभोग कर सकता है, जिससे धीमापन या अन्य अनुरोधों का जवाब देने में असमर्थता हो सकती है। समर्थित नहीं किए गए श्रृंखलाओं (जैसे 5.0.x, 4.1.x और 3.2.x) का मूल्यांकन नहीं किया गया था, लेकिन वे भी कमजोर हो सकते हैं। इस भेद्यता की गंभीरता को CVSS 6.5 के रूप में रेट किया गया है।

शोषण संदर्भ

एक हमलावर multipart/form-data अपलोड के साथ एक HTTP POST अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। अपलोड में कई भाग शामिल होंगे, जिनमें से प्रत्येक को एन्कोडेड डेटा से पहले या बाद में महत्वपूर्ण मात्रा में रिक्त स्थान के साथ base64 में एन्कोड किया जाएगा। Django का MultiPartParser, इस अनुरोध को संसाधित करते समय, रिक्त स्थान को हटाने में संसाधनों की एक असमान मात्रा खर्च करेगा, जिससे सर्वर पर भार पड़ सकता है और सेवा से इनकार हो सकता है। शोषण की आसानी इस तथ्य में निहित है कि दुर्भावनापूर्ण HTTP अनुरोध का निर्माण करना सरल है और इसे करने के लिए उपकरणों की व्यापक उपलब्धता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.13% (33% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकdjango
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
6.0 – 6.0.46.0.4
5.2 – 5.2.135.2.13
4.2 – 4.2.304.2.30
6.06.0.4
4.24.2.30
5.24.2.30

कमजोरी वर्गीकरण (CWE)

CWE-407

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 1 दिन बाद पैच

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, अपने श्रृंखला के लिए उपलब्ध नवीनतम Django संस्करण (6.0.4, 5.2.13 या 4.2.30) में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इन संस्करणों में एक फिक्स शामिल है जो MultiPartParser द्वारा अत्यधिक रिक्त स्थान के साथ base64 एन्कोडिंग को संभालने के तरीके को संबोधित करता है। यदि तत्काल अपडेट संभव नहीं है, तो मल्टीपार्ट अपलोड के अधिकतम आकार को सीमित करने और संभावित DoS हमलों के लिए सर्वर संसाधन उपयोग की निगरानी सहित अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें। इसके अलावा, अपने Django एप्लिकेशन की सुरक्षा नीतियों की समीक्षा और मजबूत करें ताकि दुर्भावनापूर्ण डेटा के प्रवेश को रोका जा सके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-33033 क्या है — django में DoS?

संस्करण 6.0 (6.0.4 से पहले), 5.2 (5.2.13 से पहले), और 4.2 (4.2.30 से पहले) कमजोर हैं।

क्या मैं django में CVE-2026-33033 से प्रभावित हूं?

सही किए गए संस्करण में अपडेट करने के लिए कमांड pip install django==[नया संस्करण] का उपयोग करें। उदाहरण के लिए: pip install django==6.0.4

django में CVE-2026-33033 को कैसे ठीक करें?

मल्टीपार्ट अपलोड के अधिकतम आकार को सीमित करें और सर्वर संसाधन उपयोग की निगरानी करें।

क्या CVE-2026-33033 का सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन सर्वर संसाधन उपयोग की निगरानी संभावित हमलों की पहचान करने में मदद कर सकती है।

CVE-2026-33033 के लिए django का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

Seokchan Yoon ने इस भेद्यता की रिपोर्ट की।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें