LOWCVE-2026-4292CVSS 2.7

DjangoのModelAdmin.list_editableにおいて権限濫用に対して脆弱

Q: django の CVE-2026-4292 による影響を受けていますか？

pipを使用して`pip install django==[新しいバージョン]`、またはオペレーティングシステムのパッケージ管理システムを通じてDjangoをアップデートできます。

Q: django の CVE-2026-4292 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、`ModelAdmin.list_editable`を使用しているコードを確認し、追加の検証を実装してください。

Q: CVE-2026-4292 に関する django の公式アドバイザリはどこで確認できますか？

使用しているDjangoのバージョンを確認し、影響を受けるバージョンと比較してください。`ModelAdmin.list_editable`を使用しているコードを潜在的な脆弱性のために確認することもできます。

プラットフォーム

python

コンポーネント

django

修正版

6.0.4

5.2.13

4.2.30

6.0.4

4.2.30

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-4292 is a security vulnerability affecting Django admin changelist forms. This issue allows attackers to create new instances of models through forged POST data, potentially leading to unauthorized data manipulation and system compromise. The vulnerability impacts Django versions 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30, with earlier unsupported versions potentially also affected. A patch is available for Django 6.0.4.

影響と攻撃シナリオ

Djangoにおいて、ModelAdmin.list_editableを使用している管理画面のリストビューにセキュリティ上の脆弱性が発見されました。6.0.4、5.2.13、4.2.30以前のバージョンでは、攻撃者が不正なPOSTデータを送信することで、新しいデータインスタンスを不正に作成できてしまう可能性があります。これは、インスタンス作成プロセスにおけるデータの検証が不十分であるために発生します。5.0.x、4.1.x、3.2.xのバージョンは直接評価されていませんが、同様に脆弱である可能性があります。この脆弱性の重大性は、管理インターフェースを通じてデータベースに不正なレコードを作成することを可能にし、データの整合性とアプリケーションのセキュリティを損なう可能性がある点にあります。

悪用の状況

攻撃者は、ModelAdmin.list_editableを通じて新しいモデルインスタンスを作成するように設計されたデータを格納した悪意のあるPOSTフォームを作成することで、この脆弱性を悪用する可能性があります。POSTデータを操作することで、攻撃者は標準的な検証を回避し、データベースに偽のレコードを作成することができます。この悪用は、管理インターフェースが適切に保護されていない環境や、ユーザーが過剰な権限を持っている場合に起こりやすいです。POSTデータの処理における適切な検証の欠如が、この脆弱性の根本的な原因です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (2% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdjango

ベンダーosv

影響範囲修正版

6.0 – 6.0.46.0.4

5.2 – 5.2.135.2.13

4.2 – 4.2.304.2.30

6.06.0.4

4.24.2.30

5.24.2.30

弱点分類 (CWE)

CWE-862

タイムライン

予約済み2026-03-16
公開日2026-04-07
更新日2026-04-09
EPSS 更新日2026-04-15

公開後1日でパッチ適用

緩和策と回避策

この脆弱性への対策は、Djangoを安全なバージョンにアップデートすることです。6.0.4以上、5.2.13以上、または4.2.30以上のバージョンへのアップデートを強く推奨します。即時アップデートが難しい場合は、ModelAdmin.list_editableを使用しているコードを慎重に確認し、受信したデータが有効であることを保証するための追加の検証を実装してください。また、管理インターフェースへのアクセスを許可されたユーザーのみに制限し、アプリケーションログを監視して不審な活動がないか確認することが重要です。Cantinaがこの脆弱性を報告してくれました。Djangoは、プラットフォームのセキュリティ向上への貢献に感謝します。

修正方法翻訳中…

Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4292 とは何ですか？（django）

影響を受けるバージョンは、Django 6.0以前の6.0.4、5.2以前の5.2.13、および4.2以前の4.2.30です。5.0.x、4.1.x、および3.2.xのバージョンも同様に脆弱である可能性がありますが、直接評価されていません。

django の CVE-2026-4292 による影響を受けていますか？

pipを使用してpip install django==[新しいバージョン]、またはオペレーティングシステムのパッケージ管理システムを通じてDjangoをアップデートできます。

django の CVE-2026-4292 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、ModelAdmin.list_editableを使用しているコードを確認し、追加の検証を実装してください。

CVE-2026-4292 は積極的に悪用されていますか？

CantinaがDjangoにこの脆弱性を報告しました。

CVE-2026-4292 に関する django の公式アドバイザリはどこで確認できますか？

使用しているDjangoのバージョンを確認し、影響を受けるバージョンと比較してください。ModelAdmin.list_editableを使用しているコードを潜在的な脆弱性のために確認することもできます。