平台
python
组件
django
修复版本
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-33033 is a Denial of Service (DoS) vulnerability affecting the Django web framework. A malicious actor can exploit this flaw by submitting multipart uploads with Content-Transfer-Encoding: base64 and excessive whitespace, leading to performance degradation. This vulnerability impacts Django versions 6.0.3 and earlier, 5.2.12 and earlier, and 4.2.29 and earlier; other unsupported versions may also be vulnerable. A patch is available in Django 6.0.4, 5.2.13, and 4.2.30.
在 Django 中发现了一个漏洞,影响版本 6.0(6.0.4 之前)、5.2(5.2.13 之前)和 4.2(4.2.30 之前)。MultiPartParser 组件容易受到攻击,远程攻击者可以通过提交带有 Content-Transfer-Encoding: base64 和过量空格的 multipart 上传来降低服务器性能。这种操作可能会消耗大量服务器资源,导致服务器变慢或无法响应其他请求。虽然未评估过不支持的系列(例如 5.0.x、4.1.x 和 3.2.x),但它们也可能存在漏洞。此漏洞的严重程度评分为 CVSS 6.5。
攻击者可以通过发送包含 multipart/form-data 上传的 HTTP POST 请求来利用此漏洞。上传将包含多个部分,每个部分都使用 base64 编码,并在编码数据之前或之后包含大量空格。Django 的 MultiPartParser 在处理此请求时,将花费不成比例的资源来删除空格,从而可能使服务器过载并导致拒绝服务。利用的简易性在于构建恶意 HTTP 请求的简单性以及用于执行此操作的工具的广泛可用性。
漏洞利用状态
EPSS
0.13% (33% 百分位)
CVSS 向量
为了减轻此漏洞,强烈建议您更新到您系列中可用的最新 Django 版本:6.0.4、5.2.13 或 4.2.30。这些版本包含一个修复程序,该修复程序解决了 MultiPartParser 如何处理带有过量空格的 base64 编码问题。如果无法立即更新,请考虑实施额外的安全措施,例如限制 multipart 上传的最大大小并监控服务器资源使用情况以检测潜在的拒绝服务攻击。此外,请审查并加强 Django 应用程序的安全策略,以防止恶意数据的输入。
Actualice Django a la versión 6.0.4, 5.2.13 o 4.2.30 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a atacantes remotos degradar el rendimiento del servidor al enviar cargas multipartes con codificación base64 y espacios en blanco excesivos.
漏洞分析和关键警报直接发送到您的邮箱。
版本 6.0(6.0.4 之前)、5.2(5.2.13 之前)和 4.2(4.2.30 之前)存在漏洞。
使用命令 pip install django==[新版本] 以更新到更正的版本。例如:pip install django==6.0.4。
限制 multipart 上传的最大大小并监控服务器资源使用情况。
目前没有用于检测此漏洞的特定工具,但监控服务器资源使用情况可以帮助识别潜在的攻击。
Seokchan Yoon 报告了此漏洞。
上传你的 requirements.txt 文件,立即知道是否受影响。