概要
Django の GenericInlineModelAdmin に 権限 検証 の 不備 が 発見 されました。インライン モデル インスタンス の 追加 権限 が、偽造 された POST データ の 送信時 に バリデーション されない ため、本来 権限 の ない 操作 が 実行 可能 です。
Django 6.0〜6.0.3、5.2〜5.2.12、4.2〜4.2.29 が 影響 を 受け ます。サポート が 終了 した 5.0.x、4.1.x、3.2.x 系列 も 影響 を 受ける 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-862(認可 の 欠如) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Django | Django Software Foundation | 6.0〜6.0.3 |
| Django | Django Software Foundation | 5.2〜5.2.12 |
| Django | Django Software Foundation | 4.2〜4.2.29 |
影響 の 範囲
Django は 世界 で 最も 広く 利用 されて いる Python Web フレームワーク の 一つ です。この 脆弱性 は Django Admin の GenericInlineModelAdmin を 使用 して いる プロジェクト に 影響 します。管理 画面 に アクセス できる ユーザー(または 管理 画面 の URL に リクエスト を 送信 できる 攻撃者)が、本来 権限 の ない インライン モデル の インスタンス を 作成 可能 です。同日 に 公開 された 他 4件 の 脆弱性 と 合わせて、Django を 利用 して いる 全 プロジェクト で アップデート を 推奨 します。
修正 バージョン と 回避策
- 修正: Django 6.0.4 / 5.2.13 / 4.2.30
- Django の 公式 セキュリティ リリース に 従い アップデート してください
GenericInlineModelAdminを 使用 して いない プロジェクト への 影響 は 限定的 です
関連 リンク
データソース: NVD (NIST), OSV (Google) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。