प्लेटफ़ॉर्म
python
घटक
django
में ठीक किया गया
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-4292 is a security vulnerability affecting Django admin changelist forms. This issue allows attackers to create new instances of models through forged POST data, potentially leading to unauthorized data manipulation and system compromise. The vulnerability impacts Django versions 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30, with earlier unsupported versions potentially also affected. A patch is available for Django 6.0.4.
Django में एक सुरक्षा भेद्यता की पहचान की गई है, विशेष रूप से ModelAdmin.list_editable का उपयोग करने वाले व्यवस्थापक सूची दृश्यों में। 6.0.4, 5.2.13 और 4.2.30 से पहले के संस्करणों में, एक हमलावर नकली POST डेटा सबमिट करके नए डेटा उदाहरणों को अवैध रूप से बना सकता था। यह उदाहरण निर्माण प्रक्रिया के दौरान डेटा सत्यापन की कमी के कारण होता है। हालांकि 5.0.x, 4.1.x और 3.2.x संस्करणों का सीधे मूल्यांकन नहीं किया गया था, लेकिन वे भी असुरक्षित हो सकते हैं। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि यह व्यवस्थापक इंटरफ़ेस के माध्यम से डेटाबेस में अनधिकृत रिकॉर्ड बनाने की अनुमति देता है, जिससे डेटा अखंडता और एप्लिकेशन सुरक्षा से समझौता हो सकता है।
एक हमलावर इस भेद्यता का फायदा उठाने के लिए ModelAdmin.list_editable के माध्यम से एक नया मॉडल उदाहरण बनाने के लिए डिज़ाइन किए गए डेटा युक्त एक दुर्भावनापूर्ण POST फॉर्म बना सकता है। POST डेटा में हेरफेर करके, हमलावर मानक सत्यापन को बायपास कर सकता है और डेटाबेस में नकली रिकॉर्ड बना सकता है। यह शोषण उन वातावरणों में अधिक संभावित है जहां व्यवस्थापक इंटरफ़ेस पर्याप्त रूप से सुरक्षित नहीं है या जहां उपयोगकर्ताओं के पास अत्यधिक विशेषाधिकार हैं। POST डेटा को संभालने में उचित सत्यापन की कमी इस भेद्यता का मूल कारण है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CVSS वेक्टर
इस भेद्यता के लिए समाधान Django को सुरक्षित संस्करण में अपडेट करना है। 6.0.4 या उच्चतर, 5.2.13 या उच्चतर, या 4.2.30 या उच्चतर संस्करण में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। यदि तत्काल अपडेट संभव नहीं है, तो ModelAdmin.list_editable का उपयोग करने वाले कोड की सावधानीपूर्वक समीक्षा करें और प्राप्त डेटा को मान्य करने के लिए अतिरिक्त सत्यापन लागू करें ताकि अनधिकृत उदाहरण निर्माण की अनुमति न मिले। इसके अलावा, व्यवस्थापक इंटरफ़ेस तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करना और संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी करना महत्वपूर्ण है। Cantina ने इस भेद्यता की रिपोर्ट की है, और Django प्लेटफॉर्म सुरक्षा में सुधार में उनके योगदान के लिए धन्यवाद देता है।
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रभावित संस्करण Django 6.0 से पहले 6.0.4, 5.2 से पहले 5.2.13 और 4.2 से पहले 4.2.30 हैं। 5.0.x, 4.1.x और 3.2.x संस्करण भी असुरक्षित हो सकते हैं, हालांकि उनका सीधे मूल्यांकन नहीं किया गया है।
आप pip install django==[नया संस्करण] या अपने ऑपरेटिंग सिस्टम के पैकेज प्रबंधन सिस्टम के माध्यम से Django को अपडेट कर सकते हैं।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो ModelAdmin.list_editable का उपयोग करने वाले कोड की समीक्षा करें और अतिरिक्त सत्यापन लागू करें।
Cantina ने Django को इस भेद्यता की रिपोर्ट की।
अपने द्वारा उपयोग किए जा रहे Django संस्करणों की जांच करें और उन्हें प्रभावित संस्करणों से तुलना करें। आप संभावित भेद्यता के लिए ModelAdmin.list_editable का उपयोग करने वाले कोड की भी जांच कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।