Проблема была обнаружена в версиях 6.0 до 6.0.4, 5.2 до 5.2.13 и 4.2 до 4.2.30. Запросы ASGI с отсутствующим или заниженным заголовком Content-Length могут
обойти ограничение `DATA_UPLOAD_MAX_MEMORY_SIZE` при чтении
`HttpRequest.body`, позволяющий удаленным злоумышленникам загружать неограниченное тело запроса в
память. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Джанго хотел бы поблагодарить Superior за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. ASGI requests with a missing or understated `Content-Length` header could bypass the `DATA_UPLOAD_MAX_MEMORY_SIZE` limit when reading `HttpRequest.body`, allowing remote attackers to load an unbounded request body into memory. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Superior for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1