Le CMS Django annonce de nouvelles mises à jour de sécurité : 6.0.4, 5.2.13 et 4.2.30. Django encourage les développeurs à mettre à jour rapidement. A noter que la lignée 4.2 est en fin de support. Une mise à jour vers la 5.2 est vivement conseillée.

Les failles de sécurités fixées sont :

- CVE-2026-3902 : spoofing à cause d'une confusion (sic!) entre _ et - dans le header ASGI ! Une des raisons de cet incroyable bug vient d'ASCIRequest qui suit les conventions WSGI et transforme les _ en - Faible niveau critique.

- CVE-2026-4277 : permissions non validées à cause d'un problème de soumission dans GenericInlineModelAdmin

- CVE-2026-4292 : autre problème de droits dans ModelAdmin.list_editable

- CVE-2026-33033 : déni de services possible en utilisation une faille dans MultiPartParser en utilisant un fichier base64 provoquant un "excès" d'espaces blancs pouvant alors déclencher des copies mémoires. Ce trigger peut dégrader les performances en saturant la mémoire

- CVE-2026-33034 : déni de services possible par un dépassement de mémoire en faisant un overflow memory sur la limite de chargement...

Ces CVE ont des scores assez faible. 

Tous les détails : https://www.djangoproject.com/weblog/2026/apr/07/security-releases/