Команда Django выпустила Django 6.0.5 и 5.2.14 для устранения критических уязвимостей безопасности. Эти выпуски устраняют три проблемы безопасности, которые пользователям рекомендуется исправить как можно скорее. Первая уязвимость, CVE-2026-5766, может привести к атаке типа «отказ в обслуживании» из-за обхода ограничений размера загружаемых файлов в запросах ASGI. Это происходит, когда заголовок Content-Length отсутствует или неверен, что потенциально позволяет большим файлам потреблять чрезмерный объем памяти. Вторая уязвимость, CVE-2026-35192, связана с фиксацией сессии через кэшированные страницы, если включена опция SESSION_SAVE_EVERY_REQUEST, что создает риск кражи сессии. Третья проблема безопасности, CVE-2026-6907, выявляет потенциальную утечку данных из-за некорректной обработки заголовка Vary: * в UpdateCacheMiddleware. Исправления для этих проблем были реализованы в ветках main, 6.0 и 5.2. Эти проблемы были классифицированы как «низкая» степень серьезности в соответствии с политикой безопасности Django. Рекомендуется обновление для версий 6.0 и 5.2. Выпуск включает в себя конкретные ссылки на исправления, а также tarball-архивы и контрольные суммы для новых версий. Сообщения о проблемах безопасности всегда следует отправлять в частном порядке по электронной почте на адрес [email protected].