「Django」にセキュリティ更新 - 複数の脆弱性に対応
ウェブアプリケーションフレームワーク「Django」の開発チームは現地時間2026年7月7日、複数の脆弱性を解消するセキュリティアップデートをリリースした。
「同6.0.7」「同5.2.16」にて3件の脆弱性「CVE-2026-48588」「CVE-2026-53877」「CVE-2026-53878」へ対処したもの。開発チームは、いずれも重要度を「低(Low)」と評価しているが、できるだけ早く更新するよう求めている。
「CVE-2026-53877」は、GDALの仮想ファイルシステムに格納されているラスタファイルの処理において域外のメモリを読み出す脆弱性。隣接するヒープメモリの漏洩やセグメンテーション違反が生じるおそれがある。
またドメイン名の検証処理に脆弱性「CVE-2026-53878」が判明。ドメイン名に改行が含まれる場合も拒否せず処理するおそれがある。「Django」のフォームフィールドを介さずに検証処理を行った場合に影響を受ける。
一方「CVE-2026-48588」は、キャッシュ関連の処理に起因する脆弱性。リクエストに無関係なCookieが含まれる場合、機密性の高いCookieを設定するレスポンスが共有キャッシュへ保存され、第三者にCookieの内容が読み取られるおそれがあるという。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは、「CVE-2026-53877」が「6.3」、「CVE-2026-53878」が「5.3」で、CVSSにおける重要度はいずれも「中(Medium)」。「CVE-2026-48588」は「2.3」で「低(Low)」相当と評価されている。
(Security NEXT - 2026/07/14 )
ツイート
PR
関連記事
iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供
分散ストレージ基盤「NVIDIA AIStore Framework」に脆弱性
Joomla向け機能拡張「iCagenda」「Balbooa Forms」の脆弱性悪用に注意
BeyondTrustのリモートアクセス製品に複数の脆弱性
「GNU Wget」にSSRF脆弱性 - 連携利用環境なども注意
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
