Django 因 XML 序列化器文本提取而存在 DoS 漏洞 · CVE-2025-64460 · GitHub 咨询数据库

漏洞详情

Dependabot 警报：0

软件包 pip Django (pip)

受影响版本

• >= 5.2a1, < 5.2.9
• >= 5.1a1, < 5.1.15
• >= 4.2a1, < 4.2.27

已修复版本

• 5.2.9
• 5.1.15
• 4.2.27

描述

在 5.2（5.2.9之前）、5.1（5.1.15之前）和 4.2（4.2.27之前）版本中发现一个问题。django.core.serializers.xml_serializer.getInnerText() 中的算法复杂度问题，允许远程攻击者通过由 XML 反序列化器处理的、经过特殊构造的 XML 输入，触发 CPU 和内存耗尽，从而可能导致拒绝服务攻击。

较早的、不受支持的 Django 系列（如 5.0.x、4.1.x 和 3.2.x）未经评估，也可能受到影响。

Django 感谢 Seokchan Yoon 报告此问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-64460
• https://docs.djangoproject.com/en/dev/releases/security
• https://groups.google.com/g/django-announce
• https://www.djangoproject.com/weblog/2025/dec/02/security-releases
• django/django@0db9ea4
• django/django@1dbd07a
• django/django@4d2b880
• django/django@99e7d22

由美国国家漏洞数据库发布：2025年12月2日 发布至 GitHub 咨询数据库：2025年12月2日 已审阅：2025年12月3日 最后更新：2025年12月3日

严重性

中等 CVSS 总分：6.3 / 10

CVSS v4 基础指标

可利用性指标

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：存在
• 所需权限：无
• 用户交互：无

易受攻击系统影响指标

• 机密性：无
• 完整性：无
• 可用性：低

后续系统影响指标

• 机密性：无
• 完整性：无
• 可用性：无

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

EPSS 分数

0.036% (第10百分位数) 该分数估计了此漏洞在未来30天内被利用的概率。数据由 FIRST 提供。

缺陷

缺陷：CWE-407 低效的算法复杂度 产品中的算法具有低效的最坏情况计算复杂度，可能损害系统性能，并且可能被攻击者触发，通常通过确保达到最坏情况的精心构造操作来实现。在 MITRE 上了解更多信息。

CVE ID

CVE-2025-64460

GHSA ID

GHSA-vrcr-9hj9-jcg6

源代码

django/django

有想要贡献的内容吗？为此漏洞建议改进。