多个Django漏洞可能导致SQL注入和拒绝服务攻击
Django开发团队发布了关键安全补丁,修复了两个可能使应用程序面临拒绝服务攻击和SQL注入利用的重大漏洞。
根据Django标准安全发布政策,针对Django 5.2.8、5.1.14和4.2.26的安全更新已于2025年11月5日发布。
漏洞详情
| CVE ID | 漏洞描述 | 严重程度 | CVSS评分 | 受影响版本 |
|---|---|---|---|---|
| CVE-2025-64458 | Windows平台HttpResponseRedirect/HttpResponsePermanentRedirect导致的拒绝服务 | 中等 | 5.3 | Django 4.2、5.1、5.2、6.0(测试版) |
| CVE-2025-64459 | QuerySet中_connector关键字参数导致的SQL注入 | 高危 | 9.8 | Django 4.2、5.1、5.2、6.0(测试版) |
QuerySet操作中的SQL注入漏洞
被指定为CVE-2025-64459的更关键漏洞影响了Django的QuerySet过滤操作。
安全研究人员发现,当开发人员使用特制字典与字典扩展作为_connector参数时,QuerySet.filter()、QuerySet.exclude()、QuerySet.get()方法以及Q()类容易受到SQL注入攻击。
此漏洞允许攻击者将恶意SQL命令注入数据库查询,可能导致未经授权的数据访问、修改或删除。
该漏洞的严重性源于其可访问性。使用这些日常QuerySet操作的开发人员如果在没有适当验证的情况下处理不受信任的用户输入,可能会无意中引入SQL注入漏洞。
攻击者利用此漏洞可以绕过应用程序安全控制,直接对底层数据库执行任意SQL命令,这使其成为生产环境中的关键问题。
Windows系统上的拒绝服务漏洞
CVE-2025-64458解决了一个影响Windows平台上HttpResponseRedirect和HttpResponsePermanentRedirect功能的拒绝服务漏洞。该问题涉及Python中低效的NFKC Unicode规范化处理,在处理包含大量Unicode字符的输入时会出现问题。
攻击者可以制作包含过多Unicode数据的特制请求,导致规范化过程消耗大量系统资源,并使应用程序无响应。
虽然此漏洞被归类为中等严重程度,但Windows管理员应保持警惕,因为成功利用可能会破坏服务可用性。该攻击不需要身份验证,可以远程执行,使其成为针对Windows部署的Django应用程序的恶意行为者的潜在攻击向量。
修复建议
针对这两个漏洞的补丁已应用于所有受影响的Django版本,包括开发主分支和Django 6.0测试版。
运行Django 4.2、5.1或5.2的组织应立即更新到修补版本。受影响的版本代表了已部署Django安装的相当大部分,这使其成为影响更广泛Django生态系统的普遍安全问题。
