Platform
python
Component
django
Opgelost in
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33033 is een Denial of Service (DoS) kwetsbaarheid in de Django web framework. Deze kwetsbaarheid stelt aanvallers in staat om de prestaties van een Django applicatie te verslechteren door middel van speciaal opgemaakte multipart uploads met Content-Transfer-Encoding: base64 en overmatige witruimte. De kwetsbaarheid treft Django versies 6.0 (tot en met 6.0.3), 5.2 (tot en met 5.2.13) en 4.2 (tot en met 4.2.30), en mogelijk ook oudere, niet-ondersteunde versies. Een fix is beschikbaar in Django 6.0.4.
Een denial-of-service (DoS) kwetsbaarheid is geïdentificeerd in Django, die de versies 6.0 (vóór 6.0.4), 5.2 (vóór 5.2.13) en 4.2 (vóór 4.2.30) treft. De MultiPartParser component is kwetsbaar voor een aanval waarbij een externe aanvaller de serverprestaties kan verslechteren door multipart uploads te verzenden met Content-Transfer-Encoding: base64 en overmatige witruimte. Deze manipulatie kan aanzienlijke serverresources verbruiken, wat leidt tot vertragingen of zelfs het onvermogen om op andere verzoeken te reageren. Hoewel niet-ondersteunde series (zoals 5.0.x, 4.1.x en 3.2.x) niet zijn geëvalueerd, kunnen deze ook kwetsbaar zijn. De ernst van deze kwetsbaarheid wordt beoordeeld als CVSS 6.5.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een HTTP POST-verzoek te verzenden met een multipart/form-data upload. De upload zou meerdere delen bevatten, elk gecodeerd in base64 met een aanzienlijke hoeveelheid witruimte voor of na de gecodeerde gegevens. De MultiPartParser van Django zou bij het verwerken van dit verzoek een onevenredig veel resources besteden aan het verwijderen van de witruimte, wat de server kan overbelasten en een denial-of-service kan veroorzaken. De eenvoud van de exploitatie ligt in de eenvoud van het construeren van een kwaadaardig HTTP-verzoek en de brede beschikbaarheid van tools om dit te doen.
Exploit Status
EPSS
0.13% (33% percentiel)
CVSS-vector
Om deze kwetsbaarheid te mitigeren, wordt ten zeerste aanbevolen om te updaten naar de nieuwste Django-versie die beschikbaar is voor uw serie: 6.0.4, 5.2.13 of 4.2.30. Deze versies bevatten een fix die behandelt hoe MultiPartParser base64-codering met overmatige witruimte verwerkt. Als een onmiddellijke update niet mogelijk is, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de maximale grootte van multipart uploads en het monitoren van het gebruik van serverresources voor potentiële DoS-aanvallen. Controleer en versterk ook de beveiligingsbeleidsregels van uw Django-applicatie om de invoer van kwaadaardige gegevens te voorkomen.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies 6.0 (vóór 6.0.4), 5.2 (vóór 5.2.13) en 4.2 (vóór 4.2.30) zijn kwetsbaar.
Gebruik de opdracht pip install django==[nieuwe_versie] om te updaten naar de gecorrigeerde versie. Bijvoorbeeld: pip install django==6.0.4.
Beperk de maximale grootte van multipart uploads en monitor het gebruik van serverresources.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar het monitoren van het gebruik van serverresources kan helpen bij het identificeren van potentiële aanvallen.
Seokchan Yoon heeft deze kwetsbaarheid gemeld.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.