Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-35192

Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/05/2026
Última modificación:
07/05/2026

Descripción

*** Pendiente de traducción *** An issue was discovered in 6.0 before 6.0.5 and 5.2 before 5.2.14.<br /> Response headers do not vary on cookies if a session is not modified, but `SESSION_SAVE_EVERY_REQUEST` is `True`. A remote attacker can steal a user&amp;#39;s session after that user visits a cached public page.<br /> Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected.<br /> Django would like to thank Cantina for reporting this issue.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* 5.2 (incluyendo) 5.2.14 (excluyendo)
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* 6.0 (incluyendo) 6.0.5 (excluyendo)