CVE-2011-4140は、Djangoフレームワークのバージョン1.3以前におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性は、Webサーバーの設定におけるHTTP Hostヘッダーの取り扱いが不十分なことに起因し、攻撃者が不正なリクエストを偽装する可能性があります。影響を受けるバージョンは、1.2.7以前および1.3.xの1.3.1以前です。修正済みのバージョン1.2.7へのアップグレードが推奨されます。
この脆弱性を悪用されると、攻撃者はDNS CNAMEレコードとJavaScriptコードを組み合わせることで、認証されていない不正なリクエストをDjangoアプリケーションに対して送信できます。これにより、ユーザーの権限を悪用し、機密情報の窃取、データの改ざん、または不正な操作を実行される可能性があります。特に、HTTP Hostヘッダーを自由に設定できるWebサーバー環境で、Djangoアプリケーションがデプロイされている場合にリスクが高まります。攻撃者は、ユーザーがアクセスするWebページに悪意のあるJavaScriptコードを埋め込むことで、ユーザーが知らないうちにリクエストを偽装し、攻撃を実行できます。
CVE-2011-4140は、2011年10月19日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC(Proof of Concept)は確認されていませんが、DNS CNAMEレコードとJavaScriptコードを組み合わせた攻撃手法は、他のWebアプリケーションでも利用される可能性があります。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.34% (57% パーセンタイル)
CVSS ベクトル
この脆弱性への主な対策は、Djangoフレームワークをバージョン1.2.7以降にアップグレードすることです。アップグレードが困難な場合は、Webサーバーの設定でHTTP Hostヘッダーの検証を強化し、許可されたホストのみを受け入れるように制限することを検討してください。また、WAF(Web Application Firewall)を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。DjangoのCSRFトークンを適切に検証し、セキュアなCookie属性を設定することで、攻撃のリスクを軽減できます。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2011-4140は、Djangoフレームワークのバージョン1.3以前におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。HTTP Hostヘッダーの取り扱いが不適切で、不正なリクエストを許容します。
Djangoのバージョンが1.2.7以前、または1.3.xの1.3.1以前を使用している場合は、影響を受けます。
Djangoフレームワークをバージョン1.2.7以降にアップグレードしてください。アップグレードが困難な場合は、Webサーバーの設定でHTTP Hostヘッダーの検証を強化してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
Djangoの公式アドバイザリは、Djangoプロジェクトのウェブサイトで確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。