CVE-2026-6907
NiskieStreszczenie
W wersjach 6.0 przed 6.0.5 oraz 5.2 przed 5.2.14 odkryto problem w `django.middleware.cache.UpdateCacheMiddleware`, który błędnie buforuje żądania z nagłówkiem `Vary` zawierającym gwiazdkę (`'*'`). Może to prowadzić do przechowywania i serwowania prywatnych danych.
Ocena ryzyka
Organizacje mogą narażać się na wyciek prywatnych danych, co może prowadzić do naruszenia prywatności użytkowników oraz potencjalnych konsekwencji prawnych.
Rekomendacja
Zaleca się aktualizację do wersji Django 6.0.5 lub 5.2.14, aby usunąć tę podatność oraz przeglądanie i zabezpieczenie danych przechowywanych w pamięci podręcznej.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.5 and 5.2 before 5.2.14. `django.middleware.cache.UpdateCacheMiddleware` erroneously caches requests where the `Vary` header contained an asterisk (`'*'`). This can lead to private data being stored and served. Earlier, unsupported Django series (such as 5.0

