ГлавнаяБаза уязвимостей БДУ → BDU:2026-01121
7.8высокая

BDU:2026-01121 (CVE-2025-64460)

Уязвимость функции django.core.serializers.xml_serializer.getInnerText() программной платформы для разработки веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2026-02-02
Описание

Уязвимость функции django.core.serializers.xml_serializer.getInnerText() программной платформы для разработки веб-приложений Django связана с низкой эффективностью вычислительной сложности алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного XML-файла

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (22.04 LTS)Red Hat Ansible Automation Platform (2)Red Hat Ansible Automation Platform (2.4)Ubuntu (24.04 LTS)Red Hat Ansible Automation Platform (2.4 for RHEL 8)Red Hat Ansible Automation Platform (2.4 for RHEL 9)Red Hat Ansible Automation Platform (2.5 for RHEL 8)Red Hat Ansible Automation Platform (2.5 for RHEL 9)Debian GNU/Linux (13)Ubuntu (25.10)РЕД ОС (8.0)Django (от 5.2 до 5.2.9)Django (от 5.1 до 5.1.15)Django (от 4.2 до 4.2.27)Red Hat Ansible Automation Platform (2.6 for RHEL 9)Red Hat Ansible Automation Platform (2.5)Discovery (2)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к уязвимой платформе;
- использование средств антивирусного программного обеспечения для анализа XML-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников;
- использование SIEM-систем для отслеживания событий, связанных с обработкой XML-файлов.
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2025/dec/02/security-releases/

Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-64460

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-64460

Для Ubuntu:
https://ubuntu.com/security/CVE-2025-64460

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.djangoproject.com/weblog/2025/dec/02/security-releases/https://ubuntu.com/security/CVE-2025-64460https://security-tracker.debian.org/tracker/CVE-2025-64460https://access.redhat.com/security/cve/cve-2025-64460http://repo.red-soft.ru/redos/8.0/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена