概要
Djangoプロジェクトは2026年4月7日、セキュリティ修正を含む3つのバージョン(6.0.4、5.2.13、4.2.30)を正式にリリースした。今回のリリースでは計5件の脆弱性が修正されており、すべてのDjangoユーザーに対して速やかなアップデートが推奨されている。また、Django 4.2はこのリリースをもって延長サポート(Extended Support)が終了となり、以降はセキュリティ修正を受け取れなくなる。
修正された脆弱性の詳細
今回修正された5件の脆弱性はいずれも重大度「低」または「中」であり、深刻度の高いものは含まれていない。
- CVE-2026-3902(重大度:低)ASGIヘッダースプーフィング —
ASGIRequestがヘッダー名をWSGI規約に従ってハイフンからアンダースコアへ正規化するため、ハイフンで保護されたヘッダーがアンダースコアを用いて偽装される可能性があった。 - CVE-2026-4277(重大度:低)GenericInlineModelAdminの権限バイパス — フォーム送信時に追加権限の検証が行われていなかったため、権限チェックを回避できる問題があった。
- CVE-2026-4292(重大度:低)ModelAdmin.list_editableの権限バイパス — フォームを通じて新規インスタンスの作成が許可される可能性があった。
- CVE-2026-33033(重大度:中)MultiPartParserのDoS脆弱性 — Base64エンコードされたファイルアップロードにより繰り返しのメモリコピーが発生し、パフォーマンスが著しく低下する可能性があった。
- CVE-2026-33034(重大度:低)ASGIリクエストのメモリ制限バイパス —
Content-Lengthヘッダーが欠落または過少に報告されることで、アップロードサイズの制限が回避される問題があった。
Django 4.2のサポート終了と今後の対応
Django 4.2はLTS(長期サポート)バージョンとして広く使用されてきたが、今回のリリース(4.2.30)をもって延長サポート期間が正式に終了した。今後はセキュリティ修正を含むいかなるアップデートも提供されないため、4.2系を使用しているプロジェクトはDjango 5.2以降への移行が強く推奨される。現在サポート対象となっているバージョンはDjango 5.2および6.0であり、これらのバージョンへのアップグレード計画を早急に策定することが望ましい。