Django 팀은 중요한 보안 취약점을 해결하기 위해 Django 6.0.5와 5.2.14를 출시했습니다. 이 릴리스는 사용자가 신속하게 해결할 것을 권고하는 세 가지 보안 문제를 다룹니다. 첫 번째 취약점인 CVE-2026-5766은 ASGI 요청에서 파일 업로드 크기 제한을 우회하여 서비스 거부 공격으로 이어질 수 있습니다. 이는 Content-Length 헤더가 누락되거나 잘못되었을 때 발생하며, 대용량 파일이 과도한 메모리를 소비할 가능성이 있습니다. 두 번째 취약점인 CVE-2026-35192는 SESSION_SAVE_EVERY_REQUEST가 활성화된 경우 캐시된 페이지를 통한 세션 고정으로, 세션 탈취의 위험을 초래합니다. 세 번째 보안 문제인 CVE-2026-6907은 UpdateCacheMiddleware에서 Vary: * 헤더를 잘못 처리하여 잠재적인 데이터 노출을 야기합니다. 이러한 문제에 대한 패치가 메인, 6.0, 5.2 브랜치에 구현되었습니다. 이 문제들은 Django의 보안 정책에 따라 "낮음" 심각도로 분류되었습니다. 6.0 및 5.2 버전에 대한 업그레이드가 권장됩니다. 릴리스에는 패치에 대한 특정 링크와 새 버전에 대한 tarball 및 checksum이 포함되어 있습니다. 보안 문제 보고는 항상 [email protected]으로 이메일을 통해 비공개로 이루어져야 합니다.
Content-Length헤더가 누락되거나 잘못되었을 때 발생하며, 대용량 파일이 과도한 메모리를 소비할 가능성이 있습니다. 두 번째 취약점인 CVE-2026-35192는SESSION_SAVE_EVERY_REQUEST가 활성화된 경우 캐시된 페이지를 통한 세션 고정으로, 세션 탈취의 위험을 초래합니다. 세 번째 보안 문제인 CVE-2026-6907은UpdateCacheMiddleware에서Vary: *헤더를 잘못 처리하여 잠재적인 데이터 노출을 야기합니다. 이러한 문제에 대한 패치가 메인, 6.0, 5.2 브랜치에 구현되었습니다. 이 문제들은 Django의 보안 정책에 따라 "낮음" 심각도로 분류되었습니다. 6.0 및 5.2 버전에 대한 업그레이드가 권장됩니다. 릴리스에는 패치에 대한 특정 링크와 새 버전에 대한 tarball 및 checksum이 포함되어 있습니다. 보안 문제 보고는 항상[email protected]으로 이메일을 통해 비공개로 이루어져야 합니다.