Featured image of post Django在Windows平台存在拒绝服务漏洞 - CVE-2025-64458深度解析

Django在Windows平台存在拒绝服务漏洞 - CVE-2025-64458深度解析

本文详细分析了Django框架在Windows系统中存在的拒绝服务漏洞CVE-2025-64458,该漏洞影响HttpResponseRedirect和HttpResponsePermanentRedirect组件,攻击者可通过大量Unicode字符触发NFKC规范化处理导致系统性能下降。

Django拒绝服务漏洞分析

漏洞概述

Django框架在Windows操作系统上存在一个拒绝服务漏洞,影响版本包括:

  • 5.2系列:>= 5.2a1, < 5.2.8
  • 5.1系列:>= 5.0a1, < 5.1.14
  • 4.2系列:< 4.2.26

技术细节

漏洞成因

该漏洞源于Python在Windows平台上的NFKC规范化处理效率问题。当处理包含大量Unicode字符的特定输入时,以下Django组件会受到潜在拒绝服务攻击:

  • django.http.HttpResponseRedirect
  • django.http.HttpResponsePermanentRedirect
  • django.shortcuts.redirect快捷函数

影响范围

受影响的版本:

  • 5.1.x系列(5.1.14之前)
  • 4.2.x系列(4.2.26之前)
  • 5.2.x系列(5.2.8之前)

已修复版本:

  • 5.2.8
  • 5.1.14
  • 4.2.26

安全评级

严重等级: 高危
CVSS评分: 7.5/10

CVSS v3.1基础指标

  • 攻击向量:网络(AV:N)
  • 攻击复杂度:低(AC:L)
  • 所需权限:无(PR:N)
  • 用户交互:无(UI:N)
  • 范围:未改变(S:U)
  • 机密性影响:无(C:N)
  • 完整性影响:无(I:N)
  • 可用性影响:高(A:H)

参考信息

  • 国家漏洞数据库:https://nvd.nist.gov/vuln/detail/CVE-2025-64458
  • Django安全发布说明:https://docs.djangoproject.com/en/dev/releases/security
  • Django官方博客:https://www.djangoproject.com/weblog/2025/nov/05/security-releases

致谢

Django项目组感谢Seokchan Yoon报告此安全问题。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次