概要
Django 4.2.26未満、5.1.14未満、5.2.8未満において、Windows 環境で NFKC 正規化処理が非常に遅くなる Python の既知の問題を利用した DoS(サービス妨害)攻撃が可能な脆弱性が存在します(CVE-2025-64458)。
django.http.HttpResponseRedirect、django.http.HttpResponsePermanentRedirect、django.shortcuts.redirect に、多数の Unicode 文字を含む細工された URL を渡すことでサービス応答不能状態を引き起こすことができます。Windows 環境固有の問題であり、Linux/macOS 環境では影響を受けません。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Unchanged | |
| Confidentiality | None | |
| Integrity | None | |
| Availability | High |
CVSS 3.1 Base Score: 7.5 (High)
ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Django | Django Software Foundation | 4.2.x < 4.2.26 |
| Django | Django Software Foundation | 5.1.x < 5.1.14 |
| Django | Django Software Foundation | 5.2.x < 5.2.8 |
注意: この脆弱性は Windows 環境でのみ影響します。Linux や macOS のサーバーでは影響を受けません。
修正バージョンと回避策
修正バージョン:
- Django 4.2.26 以降
- Django 5.1.14 以降
- Django 5.2.8 以降(最新の5.2系の場合は 5.2.14 以降を推奨)
回避策: Windows 上で Django を運用している場合は、リダイレクト URL として外部から渡される値を受け入れる箇所で入力長に上限を設けることを検討してください。ただし、パッチ適用が最も確実な対策です。
関連リンク
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。