Уязвимость функции django.core.serializers.xml_serializer.getInnerText() программной платформы для разработки веб-приложений Django связана с низкой эффективностью вычислительной сложности алгоритма. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного XML-файла
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к уязвимой платформе;
- использование средств антивирусного программного обеспечения для анализа XML-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников;
- использование SIEM-систем для отслеживания событий, связанных с обработкой XML-файлов.
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2025/dec/02/security-releases/
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-64460
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-64460
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-64460
| Балл | 7.8 — высокая опасность |