Escanear grátis
MEDIUMCVE-2026-33033CVSS 6.5

Vulnerabilidade potencial de negação de serviço no MultiPartParser via upload de arquivo codificado em base64

Plataforma

python

Componente

django

Corrigido em

6.0.4

5.2.13

4.2.30

6.0.4

4.2.30

4.2.30

AI Confidence: highNVDEPSS 0.1%Revisado: abr. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2026-33033 afeta o framework Django, permitindo que atacantes remotos causem uma degradação significativa no desempenho do sistema. Isso ocorre através da exploração do MultiPartParser com uploads multipart que utilizam a codificação Content-Transfer-Encoding: base64 e contêm espaços em branco excessivos. As versões afetadas incluem Django 6.0 (antes da 6.0.4), 5.2 (antes da 5.2.13) e 4.2 (antes da 4.2.30), com a correção já disponibilizada na versão 6.0.4.

Python

Detecte esta CVE no seu projeto

Envie seu arquivo requirements.txt e descubra na hora se você está afetado.

Enviar requirements.txtFormatos suportados: requirements.txt · Pipfile.lock

Impacto e Cenários de Ataque

Uma vulnerabilidade de negação de serviço (DoS) foi identificada no Django, afetando as versões 6.0 (anteriores a 6.0.4), 5.2 (anteriores a 5.2.13) e 4.2 (anteriores a 4.2.30). O componente MultiPartParser é suscetível a um ataque onde um atacante remoto pode degradar o desempenho do servidor enviando uploads multipartes com Content-Transfer-Encoding: base64 incluindo espaços em branco excessivos. Essa manipulação pode consumir recursos significativos do servidor, levando à lentidão ou até mesmo à incapacidade de responder a outras solicitações. Embora as séries não suportadas (como 5.0.x, 4.1.x e 3.2.x) não tenham sido avaliadas, elas também podem ser vulneráveis. A gravidade desta vulnerabilidade é classificada como CVSS 6.5.

Contexto de Exploração

Um atacante pode explorar esta vulnerabilidade enviando uma solicitação HTTP POST com um upload multipart/form-data. O upload conteria várias partes, cada uma codificada em base64 com uma quantidade significativa de espaços em branco antes ou depois dos dados codificados. O MultiPartParser do Django, ao processar esta solicitação, gastaria uma quantidade desproporcional de recursos removendo os espaços em branco, potencialmente sobrecarregando o servidor e causando uma negação de serviço. A facilidade de exploração reside na simplicidade de construir uma solicitação HTTP maliciosa e na ampla disponibilidade de ferramentas para isso.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.13% (percentil 33%)

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentedjango
Fornecedorosv
Faixa afetadaCorrigido em
6.0 – 6.0.46.0.4
5.2 – 5.2.135.2.13
4.2 – 4.2.304.2.30
6.06.0.4
4.24.2.30
5.24.2.30

Classificação de Fraqueza (CWE)

CWE-407

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Corrigido 1 dias após a divulgação

Mitigação e Soluções Alternativas

Para mitigar esta vulnerabilidade, recomenda-se fortemente atualizar para a versão mais recente do Django disponível para sua série: 6.0.4, 5.2.13 ou 4.2.30. Essas versões incluem uma correção que aborda como o MultiPartParser lida com a codificação base64 com espaços em branco excessivos. Se uma atualização imediata não for possível, considere implementar medidas de segurança adicionais, como limitar o tamanho máximo dos uploads multipartes e monitorar o uso de recursos do servidor para possíveis ataques de DoS. Além disso, revise e fortaleça as políticas de segurança do seu aplicativo Django para evitar a entrada de dados maliciosos.

Como corrigirtraduzindo…

Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2026-33033 — DoS in django?

Versions 6.0 (prior to 6.0.4), 5.2 (prior to 5.2.13), and 4.2 (prior to 4.2.30) are vulnerable.

Am I affected by CVE-2026-33033 in django?

Use the command pip install django==[new_version] to update to the corrected version. For example: pip install django==6.0.4.

How do I fix CVE-2026-33033 in django?

Limit the maximum size of multipart uploads and monitor server resource usage.

Is CVE-2026-33033 being actively exploited?

Currently, there are no specific tools to detect this vulnerability, but monitoring server resource usage can help identify potential attacks.

Where can I find the official django advisory for CVE-2026-33033?

Seokchan Yoon reported this vulnerability.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs