PT-2026-37060 · Django Software Foundation+2 · Django+2
Cantina
+2
·
Publicado
2026-05-05
·
Atualizado
2026-05-09
·
CVE-2026-35192
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Django versões 6.0 até 6.0.4
Django versões 5.2 até 5.2.13
Descrição
Quando
SESSION SAVE EVERY REQUEST está definido como True, os cabeçalhos de resposta não variam com base nos cookies se uma sessão não for modificada. Isso permite que um invasor remoto roube a sessão de um usuário após a vítima visitar uma página pública em cache. Trata-se de um problema de fixação de sessão onde o identificador da sessão pode ser comprometido por meio de conteúdo público em cache.Recomendações
Atualizar as versões 6.0 a 6.0.4 do Django para a versão 6.0.5.
Atualizar as versões 5.2 a 5.2.13 do Django para a versão 5.2.14.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Django
Linuxmint
Ubuntu