つみかさね

CVE-2025-14550

High(7.5)

CVE-2025-14550 — Django ASGIRequest 重複ヘッダーによる DoS

公開日: 2026-05-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation< 6.0.2 / < 5.2.11 / < 4.2.28

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用中のDjangoバージョンを確認する(`python -m django --version`)
  2. 2ASGIで動作しているかどうかを確認する(WSGI環境には影響なし)
  3. 3Django 6.0.2 / 5.2.11 / 4.2.28 以降へアップデートする
  4. 4ASGIサーバー側でのリクエストヘッダー制限の設定も合わせて確認する

影響対象

ASGIで動作するDjangoアプリケーション

補足

  • -WSGIで動作しているDjangoアプリケーションは本脆弱性の影響を受けない
CVEDjangoASGIDoSPyPIPython

概要

Djangoの ASGIRequest 実装に問題が発見された(CVE-2025-14550)。複数の重複するヘッダーを持つリクエストを受信した際に、処理が適切に制限されず、リモート攻撃者がサービス拒否(DoS)を引き起こせる可能性がある。

ASGI(Asynchronous Server Gateway Interface)を使用してDjangoアプリケーションを動作させている環境が対象となる。WSGI環境では本脆弱性の影響を受けない。

CVSSベクトル

項目
CVSSスコア7.5(High)
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
スコープ(S)変更なし
機密性への影響(C)なし
完全性への影響(I)なし
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation6.0系 6.0.2未満
DjangoDjango Software Foundation5.2系 5.2.11未満
DjangoDjango Software Foundation4.2系 4.2.28未満

修正バージョンと回避策

  • 修正バージョン: Django 6.0.2 / 5.2.11 / 4.2.28 以降
  • アップデート方法: pip install --upgrade django(バージョンを指定して適用)
  • 参照: Django セキュリティリリース 2026-02-03
  • ASGIサーバー側(uvicorn、daphne等)でもリクエストヘッダーの制限を設けることが推奨される

関連リンク

データソース: OSV (Google), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-33034Django ASGIRequest DATA_UPLOAD_MAX_MEMORY_SIZE バイパスCVSS 7.5CVE-2025-64460Django XMLシリアライザー算術複雑性DoSCVSS 7.5

参考リンク

Django Blog:https://www.djangoproject.com/weblog/2026/feb/03/security-releases/
Django Docs:https://docs.djangoproject.com/en/dev/releases/security/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。