CVE-2026-35192
NiskieStreszczenie
W wersjach 6.0 przed 6.0.5 oraz 5.2 przed 5.2.14 zidentyfikowano problem związany z nagłówkami odpowiedzi, które nie różnią się w przypadku ciasteczek, jeśli sesja nie została zmodyfikowana, a `SESSION_SAVE_EVERY_REQUEST` jest ustawione na `True`. Zdalny atakujący może przejąć sesję użytkownika po odwiedzeniu przez niego publicznej strony z pamięci podręcznej.
Ocena ryzyka
Organizacja jest narażona na kradzież sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad kontami użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji Django 6.0.5 lub 5.2.14, aby usunąć tę podatność. Dodatkowo, warto rozważyć modyfikację ustawień sesji, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.5 and 5.2 before 5.2.14. Response headers do not vary on cookies if a session is not modified, but `SESSION_SAVE_EVERY_REQUEST` is `True`. A remote attacker can steal a user's session after that user visits a cached public page. Earlier, unsupported Django s

