Django Windows平台拒绝服务漏洞分析
漏洞概述
Django框架在Windows平台上存在拒绝服务漏洞(CVE-2025-64458),影响HttpResponseRedirect和HttpResponsePermanentRedirect组件。
受影响版本
- Django 5.2a1 至 5.2.7
- Django 5.0a1 至 5.1.13
- Django 4.2.25及更早版本
已修复版本
- Django 5.2.8
- Django 5.1.14
- Django 4.2.26
技术细节
该漏洞源于Python在Windows平台上的NFKC规范化处理性能问题。当处理包含大量Unicode字符的特定输入时,以下组件容易遭受拒绝服务攻击:
django.http.HttpResponseRedirectdjango.http.HttpResponsePermanentRedirectdjango.shortcuts.redirect快捷方式
补充说明
较早的、不再受支持的Django系列(如5.0.x、4.1.x和3.2.x)未经过评估,但可能同样受到影响。
Django团队感谢Seokchan Yoon报告此问题。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-64458
- https://docs.djangoproject.com/en/dev/releases/security
- https://groups.google.com/g/django-announce
- https://www.djangoproject.com/weblog/2025/nov/05/security-releases
安全评分
CVSS v3.1 评分:7.5(高危)
基础指标:
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:无
- 完整性影响:无
- 可用性影响:高