Katalog CVE

CVE-2026-4277

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach 6.0 przed 6.0.4, 5.2 przed 5.2.13 oraz 4.2 przed 4.2.30 odkryto problem związany z brakiem walidacji uprawnień dla instancji modeli inline podczas przesyłania sfałszowanych danych `POST` w `GenericInlineModelAdmin`. Starsze, nieobsługiwane wersje Django (takie jak 5.0.x, 4.1.x i 3.2.x) mogły również być dotknięte tą podatnością.

Ocena ryzyka

Brak walidacji uprawnień może prowadzić do nieautoryzowanego dostępu do danych i funkcji w aplikacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Django, aby usunąć tę podatność oraz przeprowadzenie audytu uprawnień w aplikacji, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Add permissions on inline model instances were not validated on submission of forged `POST` data in `GenericInlineModelAdmin`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank N05ec@LZU-DSLab for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS