Katalog CVE

CVE-2026-35193

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie dodaje nagłówka `Authorization` do nagłówka odpowiedzi `Vary` dla żądań zawierających ten nagłówek bez `Cache-Control: public`. To umożliwia zdalnym atakującym odczyt prywatnych odpowiedzi z pamięci podręcznej za pomocą nieautoryzowanych żądań do tego samego URL.

Ocena ryzyka

Organizacje mogą być narażone na wyciek prywatnych danych, ponieważ atakujący mogą uzyskać dostęp do odpowiedzi z pamięci podręcznej, które powinny być chronione. Wersje Django, które nie są już wspierane, mogą również być podatne na tę lukę.

Rekomendacja

Zaleca się aktualizację Django do wersji 5.2.15 lub 6.0.6, aby zabezpieczyć aplikacje przed tym problemem. Należy również rozważyć przegląd i aktualizację starszych, nieobsługiwanych wersji Django.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Django 5.2 before 5.2.15 and 6.0 before 6.0.6. `django.middleware.cache.UpdateCacheMiddleware` in Django does not add `Authorization` to the `Vary` response header for requests bearing that header without `Cache-Control: public`, which allows remote attackers to read private cached responses via unauthenticated requests to the same URL. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Shai Berger for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS