Django publie des mises à jour de sécurité : 5.1.7, 5.0.13 et 4.2.20
TL;DR
La mise à jour de sécurité de Django aborde des vulnérabilités essentielles et recommande à tous les utilisateurs de mettre à jour leurs versions dès que possible.
L'équipe de Django a annoncé des mises à jour de sécurité pour les versions 5.1.7, 5.0.13 et 4.2.20. Les mises à jour visent à résoudre des problèmes de sécurité identifiés. Il est recommandé que tous les utilisateurs mettent à jour leurs versions dès que possible.
Détails de la vulnérabilité
La vulnérabilité CVE-2025-26699 implique des risques de **déni de service (DoS)** dans la fonction django.utils.text.wrap(). La fonction et le filtre de modèle wordwrap pourraient être exploités par l'utilisation de chaînes extrêmement longues.
La gravité de cette vulnérabilité est classée comme "modérée" par la politique de sécurité de Django. Des remerciements ont été adressés à sw0rd1ight pour le signalement de l'incident.
Versions affectées
- Django principal
- Django 5.2 (en version bêta pré-lancée)
- Django 5.1
- Django 5.0
- Django 4.2
Résolution
Des corrections pour la vulnérabilité ont été mises en œuvre dans la branche principale de Django et dans les versions 5.2, 5.1, 5.0 et 4.2. Les correctifs sont disponibles dans les commits suivants :
Lancements émis
- Django 5.1.7 (télécharger | checksums)
- Django 5.0.13 (télécharger | checksums)
- Django 4.2.20 (télécharger | checksums)
L'ID de la clé PGP utilisée pour ce lancement est Sarah Boyce : 3955B19851EA96EF.
Notes générales sur le rapport de sécurité
Tout problème de sécurité doit être signalé de manière privée par e-mail à security@djangoproject.com et non via le Trac de Django ou le Forum de Django. Pour plus d'informations, consultez nos politiques de sécurité.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
