Se han descubierto vulnerabilidades de severidad alta en productos Django. Un actor malicioso podría eludir mecanismos de autenticación o provocar una denegación de servicio.
Productos afectados
Django:
- Versiones 4.2.x anteriores a 4.2.30.
- Versiones 5.2.x anteriores a 5.2.13.
- Versiones 6.0.x anteriores a 6.0.4.
- Series no compatibles (EoL) como 5.0.x, 4.1.x y 3.2.x.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-3902: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación mediante suplantación de identidad. Un actor malicioso remoto podría falsificar encabezados de solicitudes ASGI para suplantar identidades y evadir controles de seguridad.
CVE-2026-33034: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de asignación de recursos sin límites ni regulación. Un actor malicioso remoto podría enviar solicitudes ASGI diseñadas para omitir los límites de memoria configurados, lo que permite cargar cuerpos de solicitud ilimitados en la memoria del servidor y provocar una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias