Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01121

Опубликовано: 02 дек. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции django.core.serializers.xml_serializer.getInnerText() программной платформы для разработки веб-приложений Django связана с низкой эффективностью вычислительной сложности алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного XML-файла

Вендор

Django Software Foundation

Наименование ПО

Django

Версия ПО

от 5.2 до 5.2.9 (Django)
от 5.1 до 5.1.15 (Django)
от 4.2 до 4.2.27 (Django)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к уязвимой платформе;
- использование средств антивирусного программного обеспечения для анализа XML-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников;
- использование SIEM-систем для отслеживания событий, связанных с обработкой XML-файлов.
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://www.djangoproject.com/weblog/2025/dec/02/security-releases/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00053
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20260122-73-0010

CVSS3: 7.5
redos
13 дней назад

Уязвимость python-django

ubuntu логотип

CVE-2025-64460

CVSS3: 7.5
ubuntu
2 месяца назад

An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4.2 before 4.2.27. Algorithmic complexity in `django.core.serializers.xml_serializer.getInnerText()` allows a remote attacker to cause a potential denial-of-service attack triggering CPU and memory exhaustion via specially crafted XML input processed by the XML `Deserializer`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.

nvd логотип

CVE-2025-64460

CVSS3: 7.5
nvd
2 месяца назад

An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4.2 before 4.2.27. Algorithmic complexity in `django.core.serializers.xml_serializer.getInnerText()` allows a remote attacker to cause a potential denial-of-service attack triggering CPU and memory exhaustion via specially crafted XML input processed by the XML `Deserializer`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.

debian логотип

CVE-2025-64460

CVSS3: 7.5
debian
2 месяца назад

An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4. ...

github логотип

GHSA-vrcr-9hj9-jcg6

github
2 месяца назад

Django is vulnerable to DoS via XML serializer text extraction

EPSS

Процентиль: 17%
0.00053
Низкий

7.5 High

CVSS3

7.8 High

CVSS2