Python 库 Django 5.2.x < 5.2.15 / 6.0.x < 6.0.6 多种漏洞
low Nessus 插件 ID 318785
语言:
简介
远程主机上安装的 Python 库受到多个漏洞的影响。描述
检测到的 Django Python 程序包版本为 5.2.x 低于 5.2.15 或 6.0.x 低于 6.0.6. 因此,该应用程序受到多个漏洞的影响,其中包括:- django.middleware.cache.UpdateCacheMiddleware 未将授权添加到无 Cache-Control: public 且带有 Vary 响应头的请求的 Vary 响应头,这允许远程攻击者通过针对同一 URL 的未经认证的请求读取私密缓存响应。(CVE-2026-35193)
- django.utils.cache.has_vary_header() 在比较之前未从 Vary 响应头值中剥离首尾空白,其允许远程攻击者通过对响应包含填空 Vary 标头值的 URL 的请求,读取缓存的响应。(CVE-2026-48587)
- django.core.mail.backends.smtp.EmailBackend 在 fail_silently=True 时 STARTTLS 握手失败后无法防止重复使用部分初始化的连接,从而允许路径上的网络攻击者通过明文拦截读取电子邮件内容。(CVE-2026-7666)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Django 5.2.15、6.0.6 或更高版本。另见
https://www.djangoproject.com/weblog/2026/jun/03/security-releases/
插件详情
严重性: Low
ID: 318785
文件名: python_django_6_0_6.nasl
版本: 1.1
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/6/5
最近更新时间: 2026/6/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2026-7666
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞信息
CPE: cpe:/a:djangoproject:django
补丁发布日期: 2026/6/3
漏洞发布日期: 2026/6/3
参考资料信息
CVE: CVE-2026-35193, CVE-2026-48587, CVE-2026-6873, CVE-2026-7666, CVE-2026-8404
IAVA: 2026-A-0543