प्लेटफ़ॉर्म
python
घटक
django
में ठीक किया गया
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33034 Django फ्रेमवर्क में एक भेद्यता है जो ASGI अनुरोधों में Content-Length हेडर की कमी या गलत जानकारी का फायदा उठाती है। इससे DATAUPLOADMAXMEMORYSIZE सीमा को बाईपास किया जा सकता है, जिससे हमलावर अनुरोध बॉडी को मेमोरी में अनबाउंडेड रूप से लोड कर सकते हैं। यह भेद्यता Django के संस्करण 6.0 से पहले के 6.0.3, 5.2 से पहले के 5.2.13 और 4.2 से पहले के 4.2.30 को प्रभावित करती है। Django 6.0.4 में इस समस्या का समाधान किया गया है।
This vulnerability allows a remote attacker to bypass Django's memory limits for uploaded data. By sending a request with a manipulated Content-Length header, an attacker can force Django to load an arbitrarily large request body into memory. This can lead to a denial-of-service (DoS) condition, potentially crashing the Django application or exhausting server resources. The impact is particularly severe in environments where Django handles user-uploaded files or processes large data payloads. While the description doesn't explicitly mention data exfiltration, the memory exhaustion could be a precursor to other attacks, such as attempting to overload the system and gain access to sensitive information.
This vulnerability was publicly disclosed on 2026-04-07. There is currently no indication of active exploitation in the wild, but the ease of exploitation and the potential for DoS attacks warrant immediate attention. The vulnerability is not listed on CISA KEV as of this writing. Superior reported the issue, indicating a proactive security research effort.
Web applications using Django versions 6.0, 5.2, or 4.2 are at risk, particularly those that handle user-uploaded files or process large data payloads. Shared hosting environments running vulnerable Django applications are also at increased risk due to the potential for cross-tenant attacks.
• python / server:
# Check for vulnerable Django versions
python -c 'import django; print(django.get_version())'• python / server:
# Examine ASGI middleware for Content-Length validation
# (Review your custom middleware code)• generic web:
# Check Django application logs for errors related to Content-Length or memory limits
# (Look for exceptions related to exceeding DATA_UPLOAD_MAX_MEMORY_SIZE)disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CVSS वेक्टर
The primary mitigation is to upgrade Django to a patched version: 6.0.4, 5.2.13, or 4.2.30. If upgrading immediately is not feasible, consider implementing a temporary workaround by strictly validating the Content-Length header in your ASGI middleware. This could involve rejecting requests with missing or suspiciously small headers. Additionally, review your DATAUPLOADMAXMEMORYSIZE setting to ensure it is appropriately configured to limit the amount of memory consumed by uploaded data. After upgrade, confirm the fix by sending a test request with a deliberately oversized Content-Length header and verifying that Django correctly rejects it.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permite a los atacantes cargar cuerpos de solicitud ilimitados en la memoria, lo que podría provocar una denegación de servicio. Consulte las notas de la versión para obtener más detalles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33034 Django फ्रेमवर्क में एक भेद्यता है जो गलत Content-Length हेडर के कारण मेमोरी ओवरफ्लो का कारण बन सकती है, जिससे हमलावर अनबाउंडेड डेटा लोड कर सकते हैं।
यदि आप Django के संस्करण 6.0.3 या उससे पहले, 5.2.13 या उससे पहले, या 4.2.30 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं। पुराने, अनुपयुक्त Django संस्करण (जैसे 5.0.x, 4.1.x, और 3.2.x) भी प्रभावित हो सकते हैं।
Django को संस्करण 6.0.4 या उसके बाद के संस्करण में अपडेट करें। यह भेद्यता को ठीक करता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।