Djangoチームは、重大なセキュリティ脆弱性に対処するため、Django 6.0.5および5.2.14をリリースしました。これらのリリースは、ユーザーが迅速に対処することを推奨する3つのセキュリティ問題に対処しています。最初の脆弱性、CVE-2026-5766は、ASGIリクエストにおけるファイルアップロードサイズ制限のバイパスを通じて、サービス拒否攻撃につながる可能性があります。これは、Content-Lengthヘッダーが存在しないか、正しくない場合に発生し、大きなファイルが過剰なメモリを消費する可能性があります。2番目の脆弱性、CVE-2026-35192は、SESSION_SAVE_EVERY_REQUESTが有効になっている場合に、キャッシュされたページを介したセッション固定に関係しており、セッション盗難のリスクをもたらします。3番目のセキュリティ問題、CVE-2026-6907は、UpdateCacheMiddlewareにおけるVary: *ヘッダーの不適切な処理による潜在的なデータ漏洩を明らかにしています。これらの問題に対するパッチは、メイン、6.0、および5.2ブランチに実装されています。これらの問題は、Djangoのセキュリティポリシーに従って「低」の重大度として分類されました。6.0および5.2バージョンのアップグレードが推奨されます。リリースには、パッチへの特定のリンク、および新しいバージョンのtarballとチェックサムが含まれています。セキュリティ問題の報告は、常に[email protected]へのメールでプライベートに行う必要があります。