CVE-2026-4277
CriticalSummary
W wersjach 6.0 przed 6.0.4, 5.2 przed 5.2.13 oraz 4.2 przed 4.2.30 odkryto problem związany z brakiem walidacji uprawnień dla instancji modeli inline podczas przesyłania sfałszowanych danych `POST` w `GenericInlineModelAdmin`. Starsze, nieobsługiwane wersje Django (takie jak 5.0.x, 4.1.x i 3.2.x) mogły również być dotknięte tą podatnością.
Risk Assessment
Brak walidacji uprawnień może prowadzić do nieautoryzowanego dostępu do danych i funkcji w aplikacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji Django, aby usunąć tę podatność oraz przeprowadzenie audytu uprawnień w aplikacji, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Add permissions on inline model instances were not validated on submission of forged `POST` data in `GenericInlineModelAdmin`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank N05ec@LZU-DSLab for reporting this issue.

