Проблема была обнаружена в версиях 6.0 до 6.0.4, 5.2 до 5.2.13 и 4.2 до 4.2.30. Формы списка изменений администратора с использованием ModelAdmin.list_editable неправильно разрешают новые
экземпляры будут созданы с помощью поддельных данных POST. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Джанго хотел бы поблагодарить Cantina за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 6.0 before 6.0.4, 5.2 before 5.2.13, and 4.2 before 4.2.30. Admin changelist forms using `ModelAdmin.list_editable` incorrectly allowed new instances to be created via forged `POST` data. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Cantina for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1