Se ha descubierto una vulnerabilidad de severidad alta en Django. Un actor malicioso podría comprometer la disponibilidad del servicio en los sistemas afectados mediante la provocación de una denegación de servicio.
Productos afectados
- Django 6.0.x, versiones anteriores a 6.0.3.
- Django 5.2.x, versiones anteriores a 5.2.12.
- Django 4.2.x, versiones anteriores a 4.2.29.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-25673: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de consumo de recursos no controlado en la función URLField.to_python(). Un actor malicioso remoto podría provocar una denegación de servicio mediante el envío de entradas de URL de gran tamaño que contengan caracteres Unicode específicos. Esto genera un procesamiento desproporcionadamente lento durante la normalización NFKC en sistemas operativos Windows, agotando los recursos del servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias