Zurück zur Liste

Django vulnerable to privilege abuse in GenericInlineModelAdmin — CVE-2026-4277

GitHub · GitHub · CVE-2026-4277

ID
CVE-2026-4277

Datum
2026-04-07

Aktualisiert
2026-06-06

Activity
2026-06-06

Quelle
GitHub

Vendor
GitHub

Risiko
low

CVSS
2.3

EPSS
0.00022

Zusammenfassung

An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Add permissions on inline model instances were not validated on submission of forged `POST` data in `GenericInlineModelAdmin`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank N05ec@LZU-DSLab for reporting this issue.

Produkt

pip: Django

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W23

Arbitrary Code Execution via Crafted Keras Config for Model Loading

2026-06-06 CVE-2025-1550

highGitHub GitHub 2026-W23

Cross-site Scripting (XSS) in mindsdb/mindsdb

2026-06-06 CVE-2024-3575

mediumGitHub GitHub 2026-W23

Django has an Improper Handling of Length Parameter Inconsistency

2026-06-06 CVE-2026-5766

mediumGitHub GitHub 2026-W23

Django Uses Cache Containing Sensitive Information

2026-06-06 CVE-2026-6907

lowGitHub GitHub 2026-W23

Django vulnerable to privilege abuse in ModelAdmin.list_editable

2026-06-06 CVE-2026-4292

lowGitHub GitHub 2026-W23

edx-enterprise has SSRF via SAML metadata URL in sync_provider_data endpoint

2026-06-06 CVE-2026-42860

highGitHub GitHub 2026-W23