प्लेटफ़ॉर्म
python
घटक
django
में ठीक किया गया
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33033 is a Denial of Service (DoS) vulnerability affecting the Django web framework. A malicious actor can exploit this flaw by submitting multipart uploads with Content-Transfer-Encoding: base64 and excessive whitespace, leading to performance degradation. This vulnerability impacts Django versions 6.0.3 and earlier, 5.2.12 and earlier, and 4.2.29 and earlier; other unsupported versions may also be vulnerable. A patch is available in Django 6.0.4, 5.2.13, and 4.2.30.
Django में एक भेद्यता (vulnerability) की पहचान की गई है, जो संस्करण 6.0 (6.0.4 से पहले), 5.2 (5.2.13 से पहले), और 4.2 (4.2.30 से पहले) को प्रभावित करती है। MultiPartParser घटक एक ऐसे हमले के प्रति संवेदनशील है जिसमें एक दूरस्थ हमलावर Content-Transfer-Encoding: base64 के साथ अत्यधिक रिक्त स्थान (whitespace) युक्त मल्टीपार्ट अपलोड सबमिट करके सर्वर के प्रदर्शन को कम कर सकता है। यह हेरफेर सर्वर संसाधनों की महत्वपूर्ण मात्रा का उपभोग कर सकता है, जिससे धीमापन या अन्य अनुरोधों का जवाब देने में असमर्थता हो सकती है। समर्थित नहीं किए गए श्रृंखलाओं (जैसे 5.0.x, 4.1.x और 3.2.x) का मूल्यांकन नहीं किया गया था, लेकिन वे भी कमजोर हो सकते हैं। इस भेद्यता की गंभीरता को CVSS 6.5 के रूप में रेट किया गया है।
एक हमलावर multipart/form-data अपलोड के साथ एक HTTP POST अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। अपलोड में कई भाग शामिल होंगे, जिनमें से प्रत्येक को एन्कोडेड डेटा से पहले या बाद में महत्वपूर्ण मात्रा में रिक्त स्थान के साथ base64 में एन्कोड किया जाएगा। Django का MultiPartParser, इस अनुरोध को संसाधित करते समय, रिक्त स्थान को हटाने में संसाधनों की एक असमान मात्रा खर्च करेगा, जिससे सर्वर पर भार पड़ सकता है और सेवा से इनकार हो सकता है। शोषण की आसानी इस तथ्य में निहित है कि दुर्भावनापूर्ण HTTP अनुरोध का निर्माण करना सरल है और इसे करने के लिए उपकरणों की व्यापक उपलब्धता है।
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, अपने श्रृंखला के लिए उपलब्ध नवीनतम Django संस्करण (6.0.4, 5.2.13 या 4.2.30) में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इन संस्करणों में एक फिक्स शामिल है जो MultiPartParser द्वारा अत्यधिक रिक्त स्थान के साथ base64 एन्कोडिंग को संभालने के तरीके को संबोधित करता है। यदि तत्काल अपडेट संभव नहीं है, तो मल्टीपार्ट अपलोड के अधिकतम आकार को सीमित करने और संभावित DoS हमलों के लिए सर्वर संसाधन उपयोग की निगरानी सहित अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें। इसके अलावा, अपने Django एप्लिकेशन की सुरक्षा नीतियों की समीक्षा और मजबूत करें ताकि दुर्भावनापूर्ण डेटा के प्रवेश को रोका जा सके।
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 6.0 (6.0.4 से पहले), 5.2 (5.2.13 से पहले), और 4.2 (4.2.30 से पहले) कमजोर हैं।
सही किए गए संस्करण में अपडेट करने के लिए कमांड pip install django==[नया संस्करण] का उपयोग करें। उदाहरण के लिए: pip install django==6.0.4।
मल्टीपार्ट अपलोड के अधिकतम आकार को सीमित करें और सर्वर संसाधन उपयोग की निगरानी करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन सर्वर संसाधन उपयोग की निगरानी संभावित हमलों की पहचान करने में मदद कर सकती है।
Seokchan Yoon ने इस भेद्यता की रिपोर्ट की।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।