平台
python
组件
django
修复版本
6.0.4
5.2.13
4.2.30
6.0.4
4.2.30
4.2.30
CVE-2026-4292 是 Django 框架中发现的一个安全漏洞,影响 Django 6.0.3 及更早版本、5.2.12 及更早版本以及 4.2.29 及更早版本。该漏洞允许攻击者通过伪造的 POST 数据在管理列表表单中创建新的实例,绕过正常的权限控制。虽然CVSS评分为低危,但可能导致未经授权的数据创建,影响系统完整性。已发布修复版本 6.0.4。
该漏洞的核心在于 Django 的 ModelAdmin.list_editable 功能的实现缺陷。攻击者可以构造恶意的 POST 请求,其中包含伪造的数据,利用该功能在未经授权的情况下创建新的数据库实例。攻击者无需登录或拥有管理员权限,即可通过这种方式绕过身份验证和授权机制。潜在影响包括未经授权的数据泄露、恶意数据的注入以及对系统配置的篡改。虽然CVSS评分为低危,但如果Django管理员界面暴露在公网,或者存在其他安全漏洞,该漏洞的风险将显著增加。类似于其他输入验证缺陷,该漏洞可能被用于进一步攻击,例如横向移动到其他系统。
该漏洞于 2026 年 4 月 7 日公开披露。目前尚无公开的漏洞利用程序 (POC),但该漏洞的原理相对简单,预计未来可能会出现。由于该漏洞影响 Django 的核心功能,且可能被用于绕过身份验证,因此需要密切关注其动态发展。CISA 尚未发布相关的安全公告,但建议关注 NVD 数据库以获取最新的漏洞信息。目前没有已知的主动利用活动。
漏洞利用状态
EPSS
0.01% (2% 百分位)
CVSS 向量
最有效的缓解措施是立即升级到 Django 的修复版本。对于 Django 6.0,升级至 6.0.4;对于 Django 5.2,升级至 5.2.13;对于 Django 4.2,升级至 4.2.30。如果升级过程不可行或导致系统中断,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意 POST 请求,阻止包含伪造数据的请求到达 Django 应用。此外,严格限制 Django 管理员界面的访问权限,仅允许授权用户访问,可以降低攻击面。在升级后,请验证管理员功能是否正常运行,确认漏洞已成功修复。
Actualice Django a la versión 4.2.30, 5.2.13 o 6.0.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un problema que permitía la creación de nuevas instancias a través de datos POST falsificados en los formularios de changelist de Admin, previniendo así la explotación de privilegios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4292 是 Django 框架中一个安全漏洞,允许攻击者通过伪造的 POST 数据在管理列表表单中创建新的实例,绕过权限控制。影响 Django 6.0.3 及更早版本、5.2.12 及更早版本以及 4.2.29 及更早版本。
如果您正在使用 Django 6.0.3 及更早版本、5.2.12 及更早版本或 4.2.29 及更早版本,则可能受到此漏洞的影响。请立即检查您的 Django 版本并升级。
升级到 Django 的修复版本:Django 6.0.4、5.2.13 或 4.2.30。如果无法升级,请使用 WAF 或反向代理过滤恶意 POST 请求。
目前尚无公开的漏洞利用程序,但由于漏洞原理简单,预计未来可能会出现。建议密切关注安全动态。
请访问 Django 的官方安全公告页面:https://security.django-project.org/ 。您可以在那里找到有关此漏洞的详细信息和修复说明。
上传你的 requirements.txt 文件,立即知道是否受影响。