Python 函式庫 Django 5.2.x < 5.2.15 / 6.0.x < 6.0.6 多個漏洞

low Nessus Plugin ID 318785

概要

遠端主機上安裝的 Python 程式庫受到多個弱點影響。

說明

偵測到的 Django Python 套件版本在之前或6.0.x之前6.0.6。5.2.x5.2.15 因此,該主機會受到多個弱點影響,包括:

- django.middleware.cache.UpdateCacheMiddleware 不會將 Authorization 新增至帶有該標頭的請求的 Authorization 中,而沒有 Cache-Control: public,這允許遠端攻擊者透過對相同 URL 的未經身份驗證的請求來讀取私有緩存的回應。(CVE-2026-35193)

- django.utils.cache.has_vary_header() 不會在比較之前從 Vary 回應標頭值中剝離前導或尾端空格,這允許遠端攻擊者透過對回應包含空格填充 Vary 標頭值的 URL 的要求來讀取快取的回應。(CVE-2026-48587)

- 當 fail_silently=True 時,django.core.mail.backends.smtp.EmailBackend 無法阻止在 STARTTLS 交握失敗後重複使用部分初始化的連線,這允許路徑上的網路攻擊者透過明文攔截讀取電子郵件內容。(CVE-2026-7666)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Django 5.2.15、6.0.6 版或更新版本。

另請參閱

https://www.djangoproject.com/weblog/2026/jun/03/security-releases/

Plugin 詳細資訊

嚴重性: Low

ID: 318785

檔案名稱: python_django_6_0_6.nasl

版本: 1.2

類型: Local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/6/5

已更新: 2026/6/8

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2026-8404

CVSS v3

風險因素: Medium

基本分數: 5.3

時間性分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: Low

Base Score: 2.3

Threat Score: 0.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: cpe:/a:djangoproject:django

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/6/3

弱點發布日期: 2026/6/3

參考資訊

CVE: CVE-2026-35193, CVE-2026-48587, CVE-2026-6873, CVE-2026-7666, CVE-2026-8404

IAVA: 2026-A-0543