| Title | Django Software FoundationのdaphneにおけるHTTP リクエストスマグリングに関する脆弱性 |
|---|---|
| Summary | daphne 4.2.2より前のバージョンでは、Twistedが解析したヘッダーから生のHTTPリクエストを再構築し、それをautobahnに渡してWebSocketハンドシェイク処理を行っていました。Twistedは制御文字(0x0b、0x0c、0x1c、0x1d、0x1e、0x85)をヘッダー行の区切り文字として扱いませんが、autobahnはヘッダー値を文字列にデコードし、その後splitlines()を呼び出します。このパーサの違いを攻撃者が悪用することで、アプリケーションに渡されるASGIスコープへ追加のヘッダーを注入される可能性がありました。現在、daphneではこれらのバイトをヘッダー値に含むリクエストを400レスポンスで拒否しています。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | June 3, 2026, midnight |
| Registration Date | June 16, 2026, 1:40 p.m. |
| Last Update | June 16, 2026, 1:40 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Django Software Foundation |
| daphne 4.2.2 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
June 16, 2026, 1:40 p.m. |
| Summary | daphne before 4.2.2 reconstructs a raw HTTP request from Twisted's parsed headers and feeds it to autobahn for WebSocket handshake processing. Twisted does not treat \x0b, \x0c, \x1c, \x1d, \x1e, or \x85 as header line separators, but autobahn decodes header values to str and calls splitlines(). An attacker can exploit this parser differential to inject additional headers into the ASGI scope passed to the application. daphne now rejects requests with these bytes in any header value with a 400 response. |
|---|---|
| Publication Date | June 3, 2026, 11:16 p.m. |
| Registration Date | June 4, 2026, 4:16 a.m. |
| Last Update | June 5, 2026, 12:21 a.m. |