プラットフォーム
python
コンポーネント
django
修正版
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33034は、DjangoフレームワークにおけるContent-Lengthヘッダーのバイパス脆弱性です。この脆弱性により、攻撃者はHttpRequest.bodyのメモリ読み込み制限を回避し、無制限のリクエストボディをメモリにロードすることが可能になります。影響を受けるバージョンはDjango 6.0.3以前、5.2.13以前、4.2.30以前です。6.0.4へのアップデートで修正されています。
この脆弱性は、攻撃者がDjangoアプリケーションに大量のデータを送信し、メモリを枯渇させるDoS攻撃に利用される可能性があります。さらに、攻撃者はこの脆弱性を悪用して、機密情報を盗み出したり、アプリケーションの動作を改ざんしたりする可能性があります。特に、ファイルアップロード機能を実装しているアプリケーションでは、悪意のあるファイルがアップロードされるリスクが高まります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性があり、注意が必要です。
この脆弱性は、2026年4月7日に公開されました。現時点では、公開されているPoCは確認されていませんが、Content-Lengthヘッダーのバイパスは、他のフレームワークでも同様の脆弱性が存在する可能性を示唆しています。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認されるまでは、注意深く監視する必要があります。
Web applications using Django versions 6.0, 5.2, or 4.2 are at risk, particularly those that handle user-uploaded files or process large data payloads. Shared hosting environments running vulnerable Django applications are also at increased risk due to the potential for cross-tenant attacks.
• python / server:
# Check for vulnerable Django versions
python -c 'import django; print(django.get_version())'• python / server:
# Examine ASGI middleware for Content-Length validation
# (Review your custom middleware code)• generic web:
# Check Django application logs for errors related to Content-Length or memory limits
# (Look for exceptions related to exceeding DATA_UPLOAD_MAX_MEMORY_SIZE)disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CVSS ベクトル
まず、Djangoを6.0.4、5.2.13、または4.2.30以降のバージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を使用して、Content-Lengthヘッダーの異常な値を検出およびブロックするルールを実装することを検討してください。また、DATAUPLOADMAXMEMORYSIZEの設定値を適切に設定し、デフォルト値よりも小さい値に制限することも有効です。アップデート後、アプリケーションを再起動し、Content-Lengthヘッダーを適切に処理していることを確認してください。
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permite a los atacantes cargar cuerpos de solicitud ilimitados en la memoria, lo que podría provocar una denegación de servicio. Consulte las notas de la versión para obtener más detalles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33034は、Django 6.0.3以前、5.2.13以前、4.2.30以前におけるContent-Lengthヘッダーのバイパス脆弱性です。これにより、攻撃者はHttpRequest.bodyのメモリ読み込み制限を回避できます。
Django 6.0.3以前、5.2.13以前、4.2.30以前を使用している場合は影響を受けます。6.0.4、5.2.13、または4.2.30以降にアップデートしてください。
Djangoを6.0.4、5.2.13、または4.2.30以降のバージョンにアップデートしてください。アップデートが困難な場合は、WAFルールやDATAUPLOADMAXMEMORYSIZEの設定値を調整してください。
現時点では、公開されているPoCは確認されていませんが、潜在的なリスクがあるため、注意深く監視する必要があります。
Djangoの公式セキュリティアドバイザリは、Djangoのウェブサイトで確認できます。https://security.django-project.org/
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。