Django XML序列化器文本提取拒绝服务漏洞(CVE-2025-64460)分析
CVE-2025-64460 - XML序列化器文本提取中的潜在拒绝服务漏洞
概述
描述
在Django 5.2(5.2.9之前)、5.1(5.1.15之前)和4.2(4.2.27之前)版本中发现了一个问题。
django.core.serializers.xml_serializer.getInnerText()函数中的算法复杂度问题,允许远程攻击者通过XML反序列化器处理的特制XML输入,触发CPU和内存耗尽,从而造成潜在的拒绝服务攻击。
更早的、不受支持的Django系列(例如5.0.x、4.1.x和3.2.x)尚未评估,也可能受到影响。
Django感谢Seokchan Yoon报告此问题。
发布日期:2025年12月2日 下午4:15
最后修改日期:2025年12月2日 下午5:16
可远程利用:否
来源:6a34fbeb-21d4-45e7-8e0a-62b95bc12c92
受影响产品
以下产品受CVE-2025-64460漏洞影响。
即使cvefeed.io知晓受影响产品的确切版本,相关信息也未在下表中体现。
暂无受影响产品记录。
总受影响供应商:0 | 产品:0
解决方案
更新Django到修复版本,以防止XML反序列化导致的拒绝服务。
- 更新Django至5.2.9或更高版本。
- 更新Django至5.1.15或更高版本。
- 更新Django至4.2.27或更高版本。
参考链接(公告、解决方案和工具)
这里提供与CVE-2025-64460相关的深入信息、实用解决方案和宝贵工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://docs.djangoproject.com/en/dev/releases/security/ | Django安全发布说明 |
| https://groups.google.com/g/django-announce | Django公告群组 |
| https://www.djangoproject.com/weblog/2025/dec/02/security-releases/ | Django安全发布博客 |
CWE - 通用缺陷枚举
虽然CVE标识了特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-64460与以下CWE相关联:
CWE-407:低效算法复杂度
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储了攻击模式,这些模式描述了对手利用CVE-2025-64460弱点所采用的常见属性和方法。
漏洞历史记录
下表列出了随时间对CVE-2025-64460漏洞所做的更改。
漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收(由6a34fbeb-21d4-45e7-8e0a-62b95bc12c92提供)
日期:2025年12月2日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Django 5.2(5.2.9之前)、5.1(5.1.15之前)和4.2(4.2.27之前)版本中发现了一个问题。django.core.serializers.xml_serializer.getInnerText()函数中的算法复杂度问题,允许远程攻击者通过XML反序列化器处理的特制XML输入,触发CPU和内存耗尽,从而造成潜在的拒绝服务攻击。更早的、不受支持的Django系列(例如5.0.x、4.1.x和3.2.x)尚未评估,也可能受到影响。Django感谢Seokchan Yoon报告此问题。 |
|
| 添加 | CWE | CWE-407 | |
| 添加 | 参考 | https://docs.djangoproject.com/en/dev/releases/security/ | |
| 添加 | 参考 | https://groups.google.com/g/django-announce | |
| 添加 | 参考 | https://www.djangoproject.com/weblog/2025/dec/02/security-releases/ | |
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | |||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
浙公网安备 33010602011771号