Plataforma
python
Componente
django
Corrigido em
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
A vulnerabilidade CVE-2026-4292 afeta as versões do Django anteriores a 6.0.4, 5.2.13 e 4.2.30. Ela permite a criação de novas instâncias de forma indevida através de dados POST forjados em formulários de changelist do Admin. Essa falha pode levar à criação não autorizada de dados no sistema, comprometendo a integridade dos dados. A correção foi disponibilizada na versão 6.0.4.
Um atacante pode explorar essa vulnerabilidade para criar novas instâncias de modelos Django através de formulários de changelist do Admin, mesmo sem as permissões adequadas. Isso pode ser feito manipulando os dados POST enviados ao servidor. O impacto direto é a criação de registros falsos ou indesejados no banco de dados, o que pode levar a dados incorretos, relatórios imprecisos e, em casos mais graves, a manipulação de processos de negócios. A blast radius é limitada ao contexto do Admin Django e à capacidade do atacante de manipular os dados POST. Embora a severidade seja classificada como baixa, a exploração bem-sucedida pode ter consequências significativas dependendo da criticidade dos dados gerenciados pelo Django.
A vulnerabilidade foi divulgada em 2026-04-07. A probabilidade de exploração é considerada baixa, pois requer um conhecimento específico do Django e a capacidade de manipular os dados POST. Não há evidências de campanhas ativas explorando essa vulnerabilidade no momento da publicação. A vulnerabilidade foi reportada pela Cantina. A NVD (National Vulnerability Database) e a CISA (Cybersecurity and Infrastructure Security Agency) também registraram a vulnerabilidade.
Status do Exploit
EPSS
0.01% (percentil 2%)
Vetor CVSS
A mitigação primária para CVE-2026-4292 é atualizar para a versão 6.0.4 ou superior do Django. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Implemente validação rigorosa dos dados de entrada nos formulários de changelist do Admin para evitar a criação de instâncias não autorizadas. Restrinja o acesso aos formulários de changelist do Admin apenas a usuários autorizados. Monitore os logs do Django em busca de atividades suspeitas, como a criação de instâncias inesperadas. Após a atualização, confirme a correção verificando se a criação de instâncias via POST forjado não é mais possível nos formulários de changelist do Admin.
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade em Django que permite a criação de instâncias não autorizadas através de dados POST forjados em formulários de changelist do Admin.
Se você estiver usando Django versões 6.0.3 ou inferior, 5.2.12 ou inferior, ou 4.2.29 ou inferior, você é afetado. Versões mais recentes já foram corrigidas.
Atualize para a versão 6.0.4 ou superior do Django. Implemente validação de dados e restrinja o acesso ao Admin.
Não há evidências de exploração ativa no momento, mas a vulnerabilidade é pública e pode ser explorada no futuro.
Consulte o aviso de segurança do Django e a entrada da NVD para obter mais informações: [https://nvd.nist.gov/vuln/detail/CVE-2026-4292](https://nvd.nist.gov/vuln/detail/CVE-2026-4292)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.