Django Windows平台拒绝服务漏洞分析
漏洞概述
Django框架在Windows平台上存在一个拒绝服务漏洞(CVE-2025-64458),影响HttpResponseRedirect和HttpResponsePermanentRedirect组件。
受影响版本
- 5.2系列:>= 5.2a1, < 5.2.8
- 5.0系列:>= 5.0a1, < 5.1.14
- 4.2系列:< 4.2.26
漏洞详情
该漏洞源于Python在Windows平台上的NFKC规范化处理速度较慢。攻击者可以通过包含大量Unicode字符的特定输入,对以下组件发起拒绝服务攻击:
django.http.HttpResponseRedirectdjango.http.HttpResponsePermanentRedirectdjango.shortcuts.redirect快捷函数
修复版本
已发布的安全修复版本:
- 5.2.8
- 5.1.14
- 4.2.26
技术背景
较早的、不再支持的Django系列(如5.0.x、4.1.x和3.2.x)未经过评估,但可能同样受到影响。
致谢
Django项目感谢Seokchan Yoon报告此安全问题。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-64458
- https://docs.djangoproject.com/en/dev/releases/security
- https://www.djangoproject.com/weblog/2025/nov/05/security-releases
安全评分
- CVSS v3评分:7.5(高危)
- 攻击向量:网络
- 影响范围:可用性(高)