Se ha descubierto una vulnerabilidad de severidad alta en productos Django. Un actor malicioso podría provocar una denegación de servicio mediante el agotamiento de recursos en los sistemas afectados.
Productos afectados
- Django 5.2: versiones anteriores a 5.2.9
- Django 5.1: versiones anteriores a 5.1.15
- Django 4.2: versiones anteriores a 4.2.27
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-64460: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de complejidad algorítmica ineficiente en la función django.core.serializers.xml_serializer.getInnerText(). Un actor malicioso remoto podría enviar una entrada XML especialmente manipulada para ser procesada por el Deserializer XML, provocando un consumo excesivo de CPU y memoria que resulta en una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-64460
- https://www.djangoproject.com/weblog/2025/dec/02/security-releases/