Se han descubierto vulnerabilidades de severidad alta en productos Django. Un actor malicioso podría comprometer la disponibilidad del servicio mediante una denegación de servicio en los sistemas afectados.
Productos afectados
- Django 6.0: versiones anteriores a la 6.0.2.
- Django 5.2: versiones anteriores a la 5.2.11.
- Django 4.2: versiones anteriores a la 4.2.28.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-14550: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de complejidad algorítmica ineficiente en ASGIRequest. Un actor malicioso remoto podría permitir una denegación de servicio mediante el envío de una solicitud especialmente diseñada que contenga múltiples encabezados duplicados.
CVE-2026-1285: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de complejidad algorítmica ineficiente en los métodos Truncator.chars() y Truncator.words() (con html=True), así como en los filtros de plantilla relacionados. Un actor malicioso remoto podría lograr una denegación de servicio mediante el procesamiento de entradas diseñadas que contengan una gran cantidad de etiquetas finales HTML no coincidentes.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias