Kritische Django-Schwachstelle CVE-2026-4277 lässt Angreifer Rechte erlangen
⚠️ CVE-Referenzen:
CVE-2026-4277
Zusammenfassung
Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-4277 wurde in Django-Versionen vor 6.0.4, 5.2.13 und 4.2.30 entdeckt. Angreifer können durch fehlerhafte Berechtigungsprüfungen in der GenericInlineModelAdmin-Komponente ihre Rechte ausweiten. Betroffen sind auch ältere, nicht mehr unterstützte Django-Versionen wie 5.0.x, 4.1.x und 3.2.x. Die Entwickler danken N05ec@LZU-DSLab für die Meldung des Problems.
An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30.
Add permissions on inline model instances were not validated on submission of
forged `POST` data in `GenericInlineModelAdmin`.
Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected.
Django would like to thank N05ec@LZU-DSLab for reporting this issue.
Quelle: app.opencve.io