MEDIUMCVE-2026-33033CVSS 6.5

Djangoにおいて、細工されたmultipartアップロード経由でDoSの可能性

Q: django の CVE-2026-33033 による影響を受けていますか？

修正されたバージョンにアップデートするには、コマンド`pip install django==[新しいバージョン]`を使用します。例：`pip install django==6.0.4`。

プラットフォーム

python

コンポーネント

django

修正版

6.0.4

5.2.13

4.2.30

6.0.4

4.2.30

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-33033 is a Denial of Service (DoS) vulnerability affecting the Django web framework. A malicious actor can exploit this flaw by submitting multipart uploads with Content-Transfer-Encoding: base64 and excessive whitespace, leading to performance degradation. This vulnerability impacts Django versions 6.0.3 and earlier, 5.2.12 and earlier, and 4.2.29 and earlier; other unsupported versions may also be vulnerable. A patch is available in Django 6.0.4, 5.2.13, and 4.2.30.

影響と攻撃シナリオ

Djangoにおいて、バージョン6.0（6.0.4以前）、5.2（5.2.13以前）、および4.2（4.2.30以前）に脆弱性が発見されました。MultiPartParserコンポーネントは、リモートの攻撃者がContent-Transfer-Encoding: base64とともに過剰な空白を含むmultipartアップロードを送信することで、サーバーのパフォーマンスを低下させる攻撃に対して脆弱です。この操作により、サーバーのリソースが大幅に消費され、他のリクエストに応答できなくなる可能性があります。評価対象外のシリーズ（5.0.x、4.1.x、3.2.xなど）も同様に脆弱である可能性があります。この脆弱性の深刻度はCVSS 6.5と評価されています。

悪用の状況

攻撃者は、multipart/form-dataアップロードを含むHTTP POSTリクエストを送信することで、この脆弱性を悪用する可能性があります。アップロードには、エンコードされたデータの前後に大量の空白を含むbase64でエンコードされた複数の部分が含まれます。DjangoのMultiPartParserは、このリクエストを処理する際に、空白を削除するために不均衡な量のリソースを消費し、サーバーを過負荷状態にし、サービス拒否を引き起こす可能性があります。悪用が容易なのは、悪意のあるHTTPリクエストを構築することの単純さと、それを実行するためのツールの広範な可用性によるものです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.13% (33% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdjango

ベンダーosv

影響範囲修正版

6.0 – 6.0.46.0.4

5.2 – 5.2.135.2.13

4.2 – 4.2.304.2.30

6.06.0.4

4.24.2.30

5.24.2.30

弱点分類 (CWE)

CWE-407

タイムライン

予約済み2026-03-17
公開日2026-04-07
更新日2026-04-09
EPSS 更新日2026-04-15

公開後1日でパッチ適用

緩和策と回避策

この脆弱性を軽減するため、お使いのシリーズの最新のDjangoバージョン（6.0.4、5.2.13、または4.2.30）にアップデートすることを強くお勧めします。これらのバージョンには、MultiPartParserが過剰な空白を含むbase64エンコードを処理する方法を修正する修正が含まれています。直ちにアップデートできない場合は、multipartアップロードの最大サイズを制限し、サーバーのリソース使用量をDoS攻撃の可能性について監視するなど、追加のセキュリティ対策を講じることを検討してください。さらに、Djangoアプリケーションのセキュリティポリシーを見直し、強化して、悪意のあるデータの入力を防ぐようにしてください。

修正方法翻訳中…

Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33033 とは何ですか？（django の DoS）

バージョン6.0（6.0.4以前）、5.2（5.2.13以前）、および4.2（4.2.30以前）が脆弱です。

django の CVE-2026-33033 による影響を受けていますか？

修正されたバージョンにアップデートするには、コマンドpip install django==[新しいバージョン]を使用します。例：pip install django==6.0.4。

django の CVE-2026-33033 を修正するにはどうすればよいですか？

multipartアップロードの最大サイズを制限し、サーバーのリソース使用量を監視してください。

CVE-2026-33033 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、サーバーのリソース使用量を監視することで、潜在的な攻撃を特定するのに役立ちます。

CVE-2026-33033 に関する django の公式アドバイザリはどこで確認できますか？

Seokchan Yoonがこの脆弱性を報告しました。