CVE-2026-35192 in Djangoinformation

Résumé

par VulDB • 21/05/2026

Un problème a été découvert dans les versions 6.0 antérieures à 6.0.5 et 5.2 antérieures à 5.2.14. Les en-têtes de réponse ne varient pas en fonction des cookies si une session n'est pas modifiée, mais que `SESSION_SAVE_EVERY_REQUEST` est défini sur `True`. Un attaquant distant peut voler la session d'un utilisateur après que celui-ci a visité une page publique mise en cache. Les anciennes séries Django non prises en charge (telles que 5.0.x, 4.1.x et 3.2.x) n'ont pas été évaluées et pourraient également être affectées. Django tient à remercier Cantina pour avoir signalé ce problème.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

DSF

Réserver

01/04/2026

Divulgation

05/05/2026

Modérer

accepté

Entrée

VDB-361176

CPE

prêt

CWE

CWE-539 (confirmé)

CVSS

4.3 (VulDB)

EPSS

0.00041

KEV

non

Activités

très faible

Secteur

Hostingprovider, Lawfirm, ...

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35192
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35192
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35192/

◂ Précédent Aperçu Suivant ▸

Do you need the next level of professionalism?

Upgrade your account now!