Platform
python
Component
django
Opgelost in
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-4292 is een kwetsbaarheid ontdekt in Django versies 6.0 (vóór 6.0.4), 5.2 (vóór 5.2.13) en 4.2 (vóór 4.2.30). Deze kwetsbaarheid maakt misbruik van de ModelAdmin.list_editable functionaliteit in admin changelist formulieren, waardoor een aanvaller nieuwe instanties kan creëren via vervalste POST-data. Oudere, niet-ondersteunde Django versies (zoals 5.0.x, 4.1.x en 3.2.x) kunnen ook kwetsbaar zijn. Het is belangrijk om zo snel mogelijk te upgraden naar een beveiligde versie.
Een succesvolle exploitatie van CVE-2026-4292 stelt een aanvaller in staat om ongeautoriseerde data in een Django applicatie te creëren. Dit kan leiden tot data-integriteitsproblemen, ongeautoriseerde toegang tot gevoelige informatie en mogelijk zelfs tot het compromitteren van de hele applicatie. De impact is groter wanneer de admin interface toegankelijk is via het internet of wanneer de applicatie gevoelige data verwerkt. Hoewel de CVSS score laag is, kan de impact aanzienlijk zijn in specifieke omgevingen met onvoldoende beveiligingsmaatregelen. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met het injecteren van data via andere formulieren, maar dan via een specifiek misbruik van de admin interface.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-07. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid misbruiken, maar het is waarschijnlijk dat exploit code snel beschikbaar zal komen. De kwetsbaarheid is gemeld door Cantina. De lage CVSS score suggereert dat de exploitatie complex kan zijn, maar de potentiële impact rechtvaardigt nog steeds een snelle mitigatie.
Exploit Status
EPSS
0.01% (2% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-4292 is het upgraden van Django naar versie 6.0.4 of hoger, 5.2.13 of hoger, of 4.2.30 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de ModelAdmin.listeditable functionaliteit. Dit kan worden gedaan door de listeditable parameter te verwijderen of op None te zetten. Als dit niet mogelijk is, implementeer dan strikte input validatie en sanitatie op alle POST-data die wordt verwerkt door de admin changelist formulieren. Controleer de Django documentatie voor de meest recente aanbevelingen en beveiligingsbest practices.
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Affected versions are Django 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Versions 5.0.x, 4.1.x, and 3.2.x may also be vulnerable, although they were not directly evaluated.
You can update Django using pip install django==[new_version] or through your operating system's package management system.
If you cannot update immediately, review the code that uses ModelAdmin.list_editable and implement additional validations.
Cantina reported this vulnerability to Django.
Review the Django versions you are using and compare them to the affected versions. You can also review the code that uses ModelAdmin.list_editable for potential vulnerabilities.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.