CVE-2025-64460 - XML序列化器文本提取中的潜在拒绝服务漏洞
概述
CVE-2025-64460 是一个在Django Web框架的XML序列化器中发现的潜在拒绝服务(Denial-of-Service)漏洞。
漏洞描述
在 5.2.9 之前版本、5.1.15 之前版本以及 4.2.27 之前版本的Django中发现了一个问题。django.core.serializers.xml_serializer.getInnerText() 函数中的算法复杂度问题,允许远程攻击者通过XML 反序列化器 处理的特制XML输入,触发CPU和内存耗尽,从而导致潜在的拒绝服务攻击。
早期不受支持的Django系列(例如 5.0.x、4.1.x 和 3.2.x)未经评估,也可能受到影响。
Django感谢 Seokchan Yoon 报告此问题。
信息
- 发布日期: 2025年12月2日 下午4:15
- 最后修改日期: 2025年12月2日 下午5:16
- 可远程利用: 否
- 来源: 6a34fbeb-21d4-45e7-8e0a-62b95bc12c92
受影响产品
以下产品受到 CVE-2025-64460 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,相关信息也未在下表中体现。
未记录到受影响产品
总计受影响供应商:0 | 产品:0
解决方案
更新Django至已修复的版本,以防止XML反序列化导致的拒绝服务攻击。
- 将Django更新至版本 5.2.9 或更高。
- 将Django更新至版本 5.1.15 或更高。
- 将Django更新至版本 4.2.27 或更高。
公告、解决方案和工具的参考链接
在此,您将找到一个精心整理的外部链接列表,这些链接提供了与 CVE-2025-64460 相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://docs.djangoproject.com/en/dev/releases/security/ | Django安全发布文档 |
| https://groups.google.com/g/django-announce | Django公告群组 |
| https://www.djangoproject.com/weblog/2025/dec/02/security-releases/ | Django项目安全发布博客 |
CWE - 通用缺陷枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-64460 与以下CWE相关联:
- CWE-407: 低效的算法复杂度
通用攻击模式枚举与分类 (CAPEC)
通用攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了对手利用 CVE-2025-64460 弱点所采用的常见属性和方法。
- 拒绝服务
漏洞评分详情
此漏洞暂无可用的CVSS评分指标。
漏洞时间线
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | 在 5.2.9 之前版本、5.1.15 之前版本以及 4.2.27 之前版本的Django中发现了一个问题。django.core.serializers.xml_serializer.getInnerText() 函数中的算法复杂度问题,允许远程攻击者通过XML 反序列化器 处理的特制XML输入,触发CPU和内存耗尽,从而导致潜在的拒绝服务攻击。早期不受支持的Django系列(例如 5.0.x、4.1.x 和 3.2.x)未经评估,也可能受到影响。Django感谢 Seokchan Yoon 报告此问题。 |
|
| 新增 | CWE | CWE-407 | |
| 新增 | 参考链接 | https://docs.djangoproject.com/en/dev/releases/security/ | |
| 新增 | 参考链接 | https://groups.google.com/g/django-announce | |
| 新增 | 参考链接 | https://www.djangoproject.com/weblog/2025/dec/02/security-releases/ |