BDU:2026-01121
Django Software Foundation, Сообщество свободного программного обеспечения, Canonical Ltd., Red Hat Debian GNU/Linux, Django, Ubuntu, РЕД ОС, Red Hat Ansible Automation Platform, Discovery
2025-12-02
Уязвимость функции django.core.serializers.xml_serializer.getInnerText() программной платформы для разработки веб-приложений Django связана с низкой эффективностью вычислительной сложности алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного XML-файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения доступа к уязвимой платформе; - использование средств антивирусного программного обеспечения для анализа XML-файлов, полученных из недоверенных источников; - использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников; - использование SIEM-систем для отслеживания событий, связанных с обработкой XML-файлов. - использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости; - ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций: Для Django: https://www.djangoproject.com/weblog/2025/dec/02/security-releases/
Для Ред ОС: http://repo.red-soft.ru/redos/8.0/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-64460
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-64460
Для Ubuntu: https://ubuntu.com/security/CVE-2025-64460