Django szolgáltatás megtagadás sérülékenység
Angol cím: Django denial-of-service Flaw
Publikálás dátuma: 2025.11.06.
Leírás
A termékben található algoritmus rendelkezik egy úgynevezett “legroszabb esetű” számítási lehetőséggel, mely hátráltathatja a rendszer teljesítményét. A támadó a rendszer manipulálásával biztosíthatja, hogy ez a “legrosszabb eset” elérhető legyen.
Elemzés leírás
Eredeti nyelven: An issue was discovered in 5.1 before 5.1.14, 4.2 before 4.2.26, and 5.2 before 5.2.8. NFKC normalization in Python is slow on Windows. As a consequence, `django.http.HttpResponseRedirect`, `django.http.HttpResponsePermanentRedirect`, and the shortcut `django.shortcuts.redirect` were subject to a potential denial-of-service attack via certain inputs with a very large number of Unicode characters. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.
Elemzés leírás forrása: https://nvd.nist.gov/vuln/detail/CVE-2025-64458Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 7.5 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score: 3.6
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Hivatkozások
https://www.djangoproject.com/weblog/2025/nov/05/security-releases/
Sérülékeny szoftverek
5.2.8, 5.1.14, és 4.2.26 előtti verziójú rendszerek