Django在Windows平台的拒绝服务漏洞

漏洞详情

受影响版本

= 5.2a1, < 5.2.8
= 5.0a1, < 5.1.14
< 4.2.26

已修复版本

5.2.8
5.1.14
4.2.26

漏洞描述

在Django 5.1系列5.1.14之前版本、4.2系列4.2.26之前版本和5.2系列5.2.8之前版本中发现了一个安全问题。

在Windows系统上，Python的NFKC规范化处理速度较慢。因此，django.http.HttpResponseRedirect、django.http.HttpResponsePermanentRedirect以及快捷函数django.shortcuts.redirect在面对包含大量Unicode字符的特定输入时，可能遭受拒绝服务攻击。

较早的、不再受支持的Django系列（如5.0.x、4.1.x和3.2.x）未经过评估，也可能受到影响。

Django感谢Seokchan Yoon报告此问题。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2025-64458
https://docs.djangoproject.com/en/dev/releases/security
https://groups.google.com/g/django-announce
https://www.djangoproject.com/weblog/2025/nov/05/security-releases
django/django@3790593
django/django@4f5d904
django/django@6e13348
django/django@770eea3

严重程度

高危 - CVSS评分：7.5/10

CVSS v3基础指标

攻击向量：网络
攻击复杂度：低
所需权限：无
用户交互：无
范围：未改变
机密性：无影响
完整性：无影响
可用性：高影响

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱点分类

CWE-407 - 低效算法复杂度

产品中的算法在最坏情况下具有低效的计算复杂度，可能对系统性能产生不利影响，攻击者通常可以通过精心构造的操纵来触发最坏情况。

Django在Windows平台存在拒绝服务漏洞，影响重定向功能

本文详细介绍了Django框架在Windows系统中存在的拒绝服务漏洞(CVE-2025-64458)，该漏洞影响HttpResponseRedirect和HttpResponsePermanentRedirect功能，攻击者可通过大量Unicode字符触发NFKC规范化处理缓慢，导致服务不可用。