Djangoチームは、重大なセキュリティ脆弱性に対処するため、Django 6.0.5および5.2.14をリリースしました。これらのリリースは、ユーザーが迅速に対処することを推奨する3つのセキュリティ問題に対処しています。最初の脆弱性、CVE-2026-5766は、ASGIリクエストにおけるファイルアップロードサイズ制限のバイパスを通じて、サービス拒否攻撃につながる可能性があります。これは、`Content-Length`ヘッダーが存在しないか、正しくない場合に発生し、大きなファイルが過剰なメモリを消費する可能性があります。2番目の脆弱性、CVE-2026-35192は、`SESSION_SAVE_EVERY_REQUEST`が有効になっている場合に、キャッシュされたページを介したセッション固定に関係しており、セッション盗難のリスクをもたらします。3番目のセキュリティ問題、CVE-2026-6907は、`UpdateCacheMiddleware`における`Vary: *`ヘッダーの不適切な処理による潜在的なデータ漏洩を明らかにしています。これらの問題に対するパッチは、メイン、6.0、および5.2ブランチに実装されています。これらの問題は、Djangoのセキュリティポリシーに従って「低」の重大度として分類されました。6.0および5.2バージョンのアップグレードが推奨されます。リリースには、パッチへの特定のリンク、および新しいバージョンのtarballとチェックサムが含まれています。セキュリティ問題の報告は、常に`[email protected]`へのメールでプライベートに行う必要があります。