A single 20 MB HTTP request can effectively stall a Django server for 1 minute (CVE-2026-33033)
A deep dive into CVE-2026-33033, a pre-auth CPU exhaustion issue in Django's multipart parser triggered by base64 file parts made mostly of whitespace.
django
단 20MB HTTP 패킷으로 Django 서버를 1분간 '먹통' 만드는 취약점이 공개되었습니다 (CVE-2026-33033)
Django의 `MultiPartParser`에서, `Content-Transfer-Encoding: base64` 파일 파트의 본문이 공백 위주로 구성되어 있을 때 발생하는 단일 요청 기반 CPU exhaustion 취약점을 다룹니다. 약 2.5MB 크기의 예시 요청 한 건으로 워커 하나가 약 5.3초간 묶입니다. 정상 요청 대비 약 2,100배 증폭됩니다.
$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。
LLMを使ってDjangoのセキュリティ問題を6件発見し、うち2件のCVEを取得。FastAPI/StarletteでもCVE-2025-62727を発見した経験を共有します。
How I Found a $2,418 Vulnerabilities with a $5 Prompt
How I used an LLM to find 6 security issues in Django, earning 2 CVEs (CVE-2025-64458, CVE-2025-64460), plus CVE-2025-62727 in FastAPI/Starlette.
$5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰
LLM을 활용하여 Django에서 6건의 보안 이슈를 발견하고 2건의 CVE를 발급받은 경험을 공유합니다. CVE-2025-64458, CVE-2025-64460.
(PyCon KR 2024) 해커의 관점으로 바라본 Django Framework
PyCon KR 2024에서 발표한 '해커의 관점으로 바라본 Django Framework' 내용을 정리했습니다. Django 보안 취약점 발견 경험을 공유합니다.
Pythonの脆弱性CVE-2024-7592とDjangoへの影響
Python標準ライブラリhttp.cookiesのReDoS脆弱性 CVE-2024-7592 の分析。Djangoサーバーに対するDoS攻撃が可能。CVSS 7.5 High.