つみかさね

CVE-2025-64460

High(7.5)

CVE-2025-64460 — Django XMLシリアライザー 算術複雑性 DoS

公開日: 2026-05-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation< 5.2.9 / < 5.1.15 / < 4.2.27

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用中のDjangoバージョンを確認する(`python -m django --version`)
  2. 2DjangoのXMLシリアライザー(`django.core.serializers.xml_serializer`)を使用しているかを確認する
  3. 3外部からのXMLデータを受け入れている場合は特に早急な対応を推奨
  4. 4Django 5.2.9 / 5.1.15 / 4.2.27 以降へアップデートする

影響対象

DjangoのXMLシリアライザーで外部XMLデータを処理するアプリケーション

補足

  • -DjangoのXMLシリアライザーを使用していない場合は実質的な影響なし
CVEDjangoXMLDoSPyPIPythonシリアライザー

概要

Djangoに同梱されているXMLシリアライザー(django.core.serializers.xml_serializer)の getInnerText() 関数に算術複雑性の問題が発見された(CVE-2025-64460)。

特別に細工されたXML入力をXMLデシリアライザーで処理すると、処理コストが入力サイズに対して指数的または高次の多項式時間で増大し、CPUとメモリの過剰消費を引き起こす。リモート攻撃者がこれを利用してDoS攻撃を実行できる可能性がある。

DjangoのXMLシリアライザーをデータのインポートや処理に使用しているアプリケーション、特に外部からのXMLデータを受け入れる場合は影響を受ける。

CVSSベクトル

項目
CVSSスコア7.5(High)
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
スコープ(S)変更なし
機密性への影響(C)なし
完全性への影響(I)なし
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation5.2系 5.2.9未満
DjangoDjango Software Foundation5.1系 5.1.15未満
DjangoDjango Software Foundation4.2系 4.2.27未満

修正バージョンと回避策

  • 修正バージョン: Django 5.2.9 / 5.1.15 / 4.2.27 以降
  • アップデート方法: pip install --upgrade django(バージョンを指定して適用)
  • 参照: Django セキュリティリリース 2025-12-02
  • 外部から提供されるXMLデータを loaddata 等でインポートしている場合は、入力元の信頼性を確認する

関連リンク

データソース: OSV (Google), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2025-14550Django ASGIRequest 重複ヘッダーDoSCVSS 7.5CVE-2026-33034Django ASGIRequest DATA_UPLOAD_MAX_MEMORY_SIZE バイパスCVSS 7.5

参考リンク

Django Blog:https://www.djangoproject.com/weblog/2025/dec/02/security-releases/
Django Docs:https://docs.djangoproject.com/en/dev/releases/security/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。