PT-2026-30867 · Django+3 · Django+3

Jacob Walls

Publicado

2026-04-07

Atualizado

2026-05-13

CVE-2026-3902

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:C/A:N

Name of the Vulnerable Software and Affected Versions Django versões 6.0 através de 6.0.3, 5.2 através de 5.2.12, e 4.2 através de 4.2.29

Description O componente ASGIRequest permite que um atacante remoto falsifique cabeçalhos devido a um mapeamento ambíguo de variantes de cabeçalho (com hífens ou com sublinhados) para uma única versão com sublinhados.

Recommendations Atualize para a versão 6.0.4 ou posterior do Django. Atualize para a versão 5.2.13 ou posterior do Django. Atualize para a versão 4.2.30 ou posterior do Django.

Correção

Authentication Bypass by Spoofing

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-290

Identificadores relacionados

BDU:2026-07722

BIT-DJANGO-2026-3902

CVE-2026-3902

ECHO-F4CA-F938-4210

GHSA-MVFQ-GGXM-9MC5

MGASA-2026-0093

OESA-2026-2217

OESA-2026-2218

OESA-2026-2219

OESA-2026-2220

OPENSUSE-SU-2026:10516-1

OPENSUSE-SU-2026:10517-1

OPENSUSE-SU-2026:10567-1

OPENSUSE-SU-2026:20578-1

PYSEC-2026-51

USN-8154-1

Produtos afetados

Django

Linuxmint

Red Os

Ubuntu

PT-2026-30867 · Django+3 · Django+3

CVE-2026-3902

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 61