製品・ソフトウェアに関する情報

JVN脆弱性詳細

Django Software FoundationのDjangoにおけるレングスパラメーターの不整合による処理に関する脆弱性

タイトル	Django Software FoundationのDjangoにおけるレングスパラメーターの不整合による処理に関する脆弱性
概要	6.0.5より前のバージョン6.0および5.2.14より前のバージョン5.2に問題が発見されました。`Content-Length`ヘッダーが欠落または過小評価されたASGIリクエストは、`FILE_UPLOAD_MAX_MEMORY_SIZE`制限を回避でき、大きなファイルをメモリに読み込むことでサービスが劣化する可能性があります。なお、Djangoは`FILE_UPLOAD_MAX_MEMORY_SIZE`にのみ依存せず、Webサーバーレベルでの制限設定を期待しています。以前のサポート対象外のDjangoシリーズ（5.0.x、4.1.x、3.2.xなど）も評価されておらず、影響を受けている可能性があります。Djangoは本問題を報告したKyle Agronick氏に感謝しています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月5日0:00
登録日	2026年5月11日10:55
最終更新日	2026年5月11日10:55

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

影響を受けるシステム

Django Software Foundation

Django 5.2 以上 5.2.14 未満

Django 6.0 以上 6.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5766	https://www.cve.org/CVERecord?id=CVE-2026-5766
National Vulnerability Database (NVD)
2	CVE-2026-5766	https://nvd.nist.gov/vuln/detail/CVE-2026-5766

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-130	https://cwe.mitre.org/data/definitions/130.html

ベンダー情報

No	名前	URL
Documentation
1	Archive of security issues \| Django documentation \| Django	https://docs.djangoproject.com/en/dev/releases/security/
Google Groups
2	django-announce - Google グループ	https://groups.google.com/g/django-announce
News & Events
3	Django security releases issued: 6.0.5 and 5.2.14 \| Weblog \| Django	https://www.djangoproject.com/weblog/2026/may/05/security-releases/

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日10:55

NVD脆弱性情報

CVE-2026-5766

概要	An issue was discovered in 6.0 before 6.0.5 and 5.2 before 5.2.14. ASGI requests with a missing or understated `Content-Length` header can bypass the `FILE_UPLOAD_MAX_MEMORY_SIZE` limit, potentially loading large files into memory and causing service degradation. As a reminder, Django expects a limit to be configured at the web server level rather than solely relying on `FILE_UPLOAD_MAX_MEMORY_SIZE`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Kyle Agronick for reporting this issue.
公表日	2026年5月6日1:16
登録日	2026年5月6日4:07
最終更新日	2026年5月7日23:16

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:djangoproject:django::::::::	5.2			5.2.14
cpe:2.3:a:djangoproject:django::::::::	6.0			6.0.5

No	URL	refsource
1	https://docs.djangoproject.com/en/dev/releases/security/	6a34fbeb-21d4-45e7-8e0a-62b95bc12c92
2	https://groups.google.com/g/django-announce	6a34fbeb-21d4-45e7-8e0a-62b95bc12c92
3	https://www.djangoproject.com/weblog/2026/may/05/security-releases/	6a34fbeb-21d4-45e7-8e0a-62b95bc12c92