Sarah Boyce

**Nome do Software Vulnerável e Versões Afetadas** Django versões 6.0 até 6.0.4 Django versões 5.2 até 5.2.13 **Descrição** Quando `SESSION SAVE EVERY REQUEST` está definido como `True`, os cabeçalhos de resposta não variam com base nos cookies se uma sessão não for modificada. Isso permite que um invasor remoto roube a sessão de um usuário após a vítima visitar uma página pública em cache. Trata-se de um problema de fixação de sessão onde o identificador da sessão pode ser comprometido por meio de conteúdo público em cache. **Recomendações** Atualizar as versões 6.0 a 6.0.4 do Django para a versão 6.0.5. Atualizar as versões 5.2 a 5.2.13 do Django para a versão 5.2.14.

**Nome do Software Vulnerável e Versões Afetadas** Django versões 6.0 a 6.0.4 Django versões 5.2 a 5.2.13 **Descrição** Requisições ASGI com o cabeçalho `Content-Length` ausente ou subestimado podem ignorar o limite `FILE UPLOAD MAX MEMORY SIZE`. Isso permite que arquivos grandes sejam carregados na memória, o que pode levar à degradação do serviço e a um potencial ataque de negação de serviço. ASGI (Asynchronous Server Gateway Interface) é um padrão para que servidores web Python assíncronos se comuniquem com aplicações web. **Recomendações** Atualizar as versões 6.0 a 6.0.4 para a versão 6.0.5. Atualizar as versões 5.2 a 5.2.13 para a versão 5.2.14. Configurar um limite no nível do servidor web para evitar a dependência exclusiva do `FILE UPLOAD MAX MEMORY SIZE`.

**Nome do Software Vulnerável e Versões Afetadas** Django versões 6.0 até 6.0.4 Django versões 5.2 até 5.2.13 **Descrição** Um problema em `django.middleware.cache.UpdateCacheMiddleware` faz com que requisições onde o cabeçalho `Vary` contém um asterisco (`'*'`) sejam erroneamente armazenadas em cache. Esse comportamento pode levar ao armazenamento e posterior entrega de dados privados a usuários não autorizados. **Recomendações** Atualizar para a versão 6.0.5 para as versões 6.0 até 6.0.4. Atualizar para a versão 5.2.14 para as versões 5.2 até 5.2.13.