https://blog.qife122.com/tags/cve-2025-64460/ Recent content in CVE-2025-64460 on 办公AI智能小助手 Hugo zh-cn qife Sun, 07 Dec 2025 13:01:01 +0800 https://blog.qife122.com/p/django-xml%E5%BA%8F%E5%88%97%E5%8C%96%E5%99%A8%E6%BC%8F%E6%B4%9E%E6%BD%9C%E5%9C%A8%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ Sun, 07 Dec 2025 13:01:01 +0800 https://blog.qife122.com/p/django-xml%E5%BA%8F%E5%88%97%E5%8C%96%E5%99%A8%E6%BC%8F%E6%B4%9E%E6%BD%9C%E5%9C%A8%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ <h2 id="django-因-xml-序列化器文本提取而存在-dos-漏洞--cve-2025-64460--github-咨询数据库">Django 因 XML 序列化器文本提取而存在 DoS 漏洞 · CVE-2025-64460 · GitHub 咨询数据库</h2> <h3 id="漏洞详情">漏洞详情</h3> <p><strong>Dependabot 警报：0</strong></p> <p><strong>软件包</strong> pip Django (pip)</p> <p><strong>受影响版本</strong></p> <ul> <li>&gt;= 5.2a1, &lt; 5.2.9</li> <li>&gt;= 5.1a1, &lt; 5.1.15</li> <li>&gt;= 4.2a1, &lt; 4.2.27</li> </ul> <p><strong>已修复版本</strong></p> <ul> <li>5.2.9</li> <li>5.1.15</li> <li>4.2.27</li> </ul> <h3 id="描述">描述</h3> <p>在 5.2（5.2.9之前）、5.1（5.1.15之前）和 4.2（4.2.27之前）版本中发现一个问题。<code>django.core.serializers.xml_serializer.getInnerText()</code> 中的算法复杂度问题，允许远程攻击者通过由 XML 反序列化器处理的、经过特殊构造的 XML 输入，触发 CPU 和内存耗尽，从而可能导致拒绝服务攻击。</p>