Vulnerabilidad en Django de djangoproject (CVE-2026-25674)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
03/03/2026
Última modificación:
05/03/2026
Descripción
Se descubrió un problema en 6.0 anterior a 6.0.3, 5.2 anterior a 5.2.12 y 4.2 anterior a 4.2.29.<br />
Una condición de carrera en el almacenamiento del sistema de archivos y los backends de caché basados en archivos en Django permite a un atacante provocar que los objetos del sistema de archivos se creen con permisos incorrectos a través de solicitudes concurrentes, donde el cambio temporal de &#39;umask&#39; de un hilo afecta a otros hilos en entornos multihilo.<br />
Series de Django anteriores y no compatibles (como 5.0.x, 4.1.x y 3.2.x) no fueron evaluadas y también pueden verse afectadas.<br />
Django desea agradecer a Tarek Nakkouch por informar sobre este problema.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 4.2.0 (incluyendo) | 4.2.29 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 5.2 (incluyendo) | 5.2.12 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 6.0 (incluyendo) | 6.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página