Peringatan Ancaman

Pembaruan keamanan telah dirilis untuk Python web framework Django untuk mengatasi dua kerentanan yang mungkin memengaruhi aplikasi yang berjalan pada versi yang didukung. Masalah-masalah tersebut meliputi kondisi denial-of-service tingkat keparahan sedang dan masalah tingkat keparahan rendah terkait penanganan file permission. Celah denial-of-service memungkinkan penyerang mengirim input yang dibuat khusus yang dapat memaksa server untuk menghabiskan waktu pemrosesan yang berlebihan saat memvalidasi URLs. Masalah kedua dapat menyebabkan file atau direktori dibuat dengan access permissions yang tidak semestinya di beberapa lingkungan. Masalah-masalah ini dapat memengaruhi ketersediaan aplikasi atau menyebabkan terbongkarnya data sensitif yang tersimpan di server. Kerentanan-kerentanan tersebut telah diberi pengidentifikasi CVE: CVE-2026-25673 (CVSS 5.5) dan CVE-2026-25674 (CVSS 3.3). Pembaruan telah dirilis untuk memperbaiki masalah-masalah ini di semua cabang framework yang didukung.

Dimana letak masalahnya?

Kerentanan ini teridentifikasi dalam proses validasi URL dan penanganan perizinan file dalam aplikasi Django. Dua kerentanan utama yang diidentifikasi adalah:

CVE-2026-25673 (DoS): CVE-2026-25673 adalah masalah denial-of-service yang memengaruhi URLField form field di aplikasi Django. Masalah ini terjadi pada sistem Windows ketika to_python() method memproses URLs menggunakan fungsi yang melakukan Unicode normalization. Langkah normalization ini dapat menjadi sangat lambat ketika input yang sangat besar mengandung karakter tertentu. Penyerang dapat mengeksploitasi perilaku ini dengan mengirim input yang dibuat khusus yang memaksa server untuk menghabiskan waktu berlebihan dalam melakukan normalization. Akibatnya, sumber daya server dapat terkonsumsi secara berlebihan, yang dapat memperlambat atau menghentikan aplikasi. Perbaikan ini memperkenalkan metode yang disederhanakan untuk scheme detection yang menghilangkan normalization process dan mencegah resource exhaustion scenario ini.

CVE-2026-25674 (Perizinan File): CVE-2026-25674 berkaitan dengan cara Django sebelumnya menangani permissions saat membuat file dan direktori melalui file-system storage dan file-based cache mechanisms. Framework ini mengandalkan process umask untuk mengontrol permission level objek yang baru dibuat. Dalam multi-threaded environments, perubahan sementara pada umask oleh satu thread dapat memengaruhi thread lain yang secara bersamaan membuat file atau direktori. Situasi ini dapat mengakibatkan file dibuat dengan access rights yang tidak semestinya atau terlalu permisif. Permissions semacam itu mungkin memungkinkan pengguna tidak sah untuk mengakses data sensitif yang disimpan oleh aplikasi. Pembaruan ini memperbaiki perilaku ini dengan menerapkan permissions yang diminta langsung setelah pembuatan direktori menggunakan chmod.

Dampak bagi Aplikasi dan Pengguna

• Dampak terhadap Aplikasi: Kerentanan DoS (CVE-2026-25673) dapat menyebabkan gangguan ketersediaan layanan, membuat aplikasi tidak responsif atau tidak dapat diakses oleh pengguna sah karena kehabisan sumber daya server.
• Dampak terhadap Pengguna dan Data: Masalah izin file (CVE-2026-25674) berpotensi memungkinkan pengguna yang tidak sah untuk mengakses data sensitif yang disimpan oleh aplikasi di server akibat izin akses yang terlalu longgar.

Versi yang Terdampak dan Perbaikan

Kerentanan ini berdampak pada cabang sebelum versi pembaruan.

Rekomendasi untuk Developer dan Tim Security

Segera Perbarui: Segera lakukan identifikasi aplikasi yang menggunakan framework Django dan perbarui ke versi berikut:

• Django 6.0.3
• Django 5.2.12
• Django 4.2.29

Verifikasi Perizinan: Verifikasi perizinan file di server setelah pembaruan, terutama di lingkungan multi-threaded.

Validasi Input: Pastikan input pengguna divalidasi dengan benar untuk mencegah serangan DoS berbasis input.

Tinjau Konfigurasi: Tinjau konfigurasi penyimpanan file dan cache untuk memastikan penanganan perizinan yang aman.

Penutup

Segera perbarui framework Django Anda untuk memastikan aplikasi Anda terlindungi dari kerentanan ini. Tindakan pencegahan ini penting untuk menjaga ketersediaan layanan dan keamanan data pengguna Anda.

Sumber referensi:
https://securityonline.info/django-releases-security-patches-to-address-dos-and-permission-vulnerabilities/