概要
Django の URLField.to_python() が内部で使用する urllib.parse.urlsplit() は、Windows 環境において特定の Unicode 文字に対して不釣り合いに遅い NFKC 正規化を実行します。この挙動を悪用して、大きな URL 入力に該当文字を含めることで、リモートからサービス妨害(DoS)を引き起こすことが可能です。
Django は広く使われている Python Web フレームワークであり、URLField を使用しているフォームやモデルが影響を受ける可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-400 (リソース消費の制御不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Django | Django Software Foundation | 6.0〜6.0.2, 5.2〜5.2.11, 4.2〜4.2.28 |
5.0.x、4.1.x、3.2.x 等のサポート終了シリーズも影響を受ける可能性がありますが、評価は行われていません。
修正バージョンと回避策
- 修正バージョン: Django 6.0.3 / 5.2.12 / 4.2.29
- 入力値の長さ制限は保護にならないため(小さなペイロードでも発動可能)、アップデートが推奨されます。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。