Django開発チームは6月3日(現地時間)、Djangoフレームワークのセキュリティリリースとなる6.0.6および5.2.15を公開した。今回のアップデートでは、複数の脆弱性が修正されている。
1つ目は、django.http.HttpRequest.get_signed_cookieで、署名用ソルトの名前空間衝突が発生する脆弱性(CVE-2026-6873)である。これにより、異なるコンテキストで不正にクッキーが受け入れられる可能性があったが、今後はより明確なソルト導出方法が採用された。Django 7.0までは過去バージョンで署名されたクッキーも受け入れられる。
次に、SMTPバックエンドにおけるSTARTTLSの失敗時、暗号化されないメール送信が発生しうる問題(CVE-2026-7666)が修正された。EMAIL_USE_SSL設定時の接続は影響を受けない。
さらに、UpdateCacheMiddlewareにおいてCache-Controlディレクティブの大文字・小文字混在や空白の扱いによるキャッシュの問題(CVE-2026-8404、CVE-2026-48587)およびVary: Authorizationヘッダー欠落によるプライベートデータ漏洩の可能性(CVE-2026-35193)も対処されている。
該当するDjango 6.0系および5.2系ユーザーには、速やかなアップグレードが呼びかけられている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
