Plataforma
python
Componente
django
Corrigido em
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
A vulnerabilidade CVE-2026-33033 afeta o framework Django, permitindo que atacantes remotos causem uma degradação significativa no desempenho do sistema. Isso ocorre através da exploração do MultiPartParser com uploads multipart que utilizam a codificação Content-Transfer-Encoding: base64 e contêm espaços em branco excessivos. As versões afetadas incluem Django 6.0 (antes da 6.0.4), 5.2 (antes da 5.2.13) e 4.2 (antes da 4.2.30), com a correção já disponibilizada na versão 6.0.4.
Uma vulnerabilidade de negação de serviço (DoS) foi identificada no Django, afetando as versões 6.0 (anteriores a 6.0.4), 5.2 (anteriores a 5.2.13) e 4.2 (anteriores a 4.2.30). O componente MultiPartParser é suscetível a um ataque onde um atacante remoto pode degradar o desempenho do servidor enviando uploads multipartes com Content-Transfer-Encoding: base64 incluindo espaços em branco excessivos. Essa manipulação pode consumir recursos significativos do servidor, levando à lentidão ou até mesmo à incapacidade de responder a outras solicitações. Embora as séries não suportadas (como 5.0.x, 4.1.x e 3.2.x) não tenham sido avaliadas, elas também podem ser vulneráveis. A gravidade desta vulnerabilidade é classificada como CVSS 6.5.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação HTTP POST com um upload multipart/form-data. O upload conteria várias partes, cada uma codificada em base64 com uma quantidade significativa de espaços em branco antes ou depois dos dados codificados. O MultiPartParser do Django, ao processar esta solicitação, gastaria uma quantidade desproporcional de recursos removendo os espaços em branco, potencialmente sobrecarregando o servidor e causando uma negação de serviço. A facilidade de exploração reside na simplicidade de construir uma solicitação HTTP maliciosa e na ampla disponibilidade de ferramentas para isso.
Status do Exploit
EPSS
0.13% (percentil 33%)
Vetor CVSS
Para mitigar esta vulnerabilidade, recomenda-se fortemente atualizar para a versão mais recente do Django disponível para sua série: 6.0.4, 5.2.13 ou 4.2.30. Essas versões incluem uma correção que aborda como o MultiPartParser lida com a codificação base64 com espaços em branco excessivos. Se uma atualização imediata não for possível, considere implementar medidas de segurança adicionais, como limitar o tamanho máximo dos uploads multipartes e monitorar o uso de recursos do servidor para possíveis ataques de DoS. Além disso, revise e fortaleça as políticas de segurança do seu aplicativo Django para evitar a entrada de dados maliciosos.
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versions 6.0 (prior to 6.0.4), 5.2 (prior to 5.2.13), and 4.2 (prior to 4.2.30) are vulnerable.
Use the command pip install django==[new_version] to update to the corrected version. For example: pip install django==6.0.4.
Limit the maximum size of multipart uploads and monitor server resource usage.
Currently, there are no specific tools to detect this vulnerability, but monitoring server resource usage can help identify potential attacks.
Seokchan Yoon reported this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.