प्लेटफ़ॉर्म
python
घटक
django
में ठीक किया गया
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-3902 Django वेब फ्रेमवर्क में एक भेद्यता है जो दूरस्थ हमलावरों को हेडर को स्पूफ करने की अनुमति देती है। यह भेद्यता Django के 6.0 से पहले के संस्करणों, 5.2 से पहले के संस्करणों और 4.2 से पहले के संस्करणों में मौजूद है, और अस्पष्ट हेडर मैपिंग के कारण होती है। पुराने Django संस्करणों (जैसे 5.0.x, 4.1.x, और 3.2.x) का मूल्यांकन नहीं किया गया है और वे भी प्रभावित हो सकते हैं। इस समस्या को Django 6.0.4 में ठीक कर दिया गया है।
The core of this vulnerability lies in Django's handling of HTTP headers. Specifically, the ASGIRequest component incorrectly maps header names that differ only by the presence of hyphens versus underscores to a single, underscore-based header. An attacker can exploit this by sending requests with both header variants, effectively controlling which header is processed by the application. This header spoofing can lead to a variety of consequences, including manipulating application logic, bypassing authentication checks, and potentially gaining unauthorized access to sensitive data. The impact is amplified if the application relies on these headers for critical functionality, such as authorization or input validation. While the description doesn't explicitly mention a specific attack vector, the ability to spoof headers opens the door to a broad range of attacks.
CVE-2026-3902 was disclosed on 2026-04-07. As of this date, there are no publicly available proof-of-concept exploits. The vulnerability is not currently listed on the CISA KEV catalog. The probability of exploitation is currently assessed as low, but this could change if a public exploit is released. The vulnerability was reported by Tarek Nakkouch.
Applications heavily reliant on HTTP headers for authentication, authorization, or input validation are particularly at risk. Django projects using older, unsupported versions (5.0.x, 4.1.x, 3.2.x) are also vulnerable, despite not being formally evaluated. Shared hosting environments where header manipulation could impact multiple applications should prioritize patching.
• python / server:
# Check Django version
python -c "import django; print(django.get_version())"• generic web:
# Inspect access logs for unusual header patterns (e.g., multiple headers with slight variations)
grep -i 'header_name_with_hyphens|header_name_with_underscores' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CVSS वेक्टर
The primary mitigation for CVE-2026-3902 is to upgrade to Django version 6.0.4 or later. This version contains a fix that resolves the ambiguous header mapping issue. If upgrading is not immediately feasible, consider implementing a temporary workaround by carefully validating and sanitizing all incoming HTTP headers within your Django application. This can involve explicitly checking for expected header names and formats, and rejecting any requests that deviate from these expectations. Web application firewalls (WAFs) configured to inspect and filter HTTP headers can also provide an additional layer of defense. There are no specific Sigma or YARA rules readily available for this vulnerability, but monitoring for unusual header patterns in your access logs is recommended.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de falsificación de encabezados ASGI. Esta actualización corrige un problema donde los atacantes podían manipular encabezados aprovechando una ambigüedad en el mapeo de variantes de encabezados con guiones o guiones bajos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-3902 Django वेब फ्रेमवर्क में एक भेद्यता है जो हमलावरों को HTTP अनुरोधों में हेडर को स्पूफ करने की अनुमति देती है। यह अस्पष्ट हेडर मैपिंग के कारण होता है।
यदि आप Django के संस्करण 6.0.3 या उससे पहले, 5.2.13 या उससे पहले, या 4.2.30 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। पुराने Django संस्करणों (जैसे 5.0.x, 4.1.x, और 3.2.x) का मूल्यांकन नहीं किया गया है और वे भी प्रभावित हो सकते हैं।
Django को संस्करण 6.0.4 या उसके बाद के संस्करण में अपडेट करें। यह भेद्यता को ठीक करता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।