【缝隙公告】Django SQL 注入缝隙 (CVE-2025-57833)

颁布功夫 2025-09-04

一、、、缝隙概述


缝隙名称

Django SQL 注入缝隙

CVE   ID

CVE-2025-57833

缝隙类型

SQL注入

发现功夫

2025-09-04

缝隙评分

7.1

缝隙等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

不必要

PoC/EXP

已公开

在野利用

未发现


Django是一个高级的Python Web框架,用于急剧开发安全、、、可守护的网站。。。它激励遵循“DRY”(Don't Repeat Yourself)准则,提供了丰硕的内置职能,如自动化的治理界面、、、数据库模型、、、URL路由、、、表单处置、、、验证、、、认证等。。。Django是一个全栈框架,适合开发从单一利用到复杂系统的各类Web项目。。。其设计正视可重用性、、、急剧开发和高效的数据库操作,使开发者可能专一于业务逻辑而非底层代码。。。


2025年9月4日,OG东方厅集团VSRC监测到Django框架中的一项高危SQL注入缝隙。。。该缝隙源于FilteredRelation职能在处置列别号时,未对通过kwargs传递给QuerySet.annotate()或QuerySet.alias()的字典进行充分验证。。。攻击者能够机关恶意字典,利用字典发展个性,将恶意输入注入SQL查问的列别号部门,从而绕过通例SQL注入防护。。。成功利用后,攻击者可读取、、、批改或删除数据库中的敏感数据,甚至执行肆意SQL号令,导致数据泄露或齐全节制数据库。。。缝隙评分7.1分,缝隙级别高危。。。


二、、、影响领域


4.2 <= Django < 4.2.24
5.1 <= Django < 5.1.12
5.2 <= Django < 5.2.6


三、、、安全措施


3.1 升级版本


已颁布修复版本,请将Django升级到如下版本。。。
Django >= 4.2.24
Django >= 5.1.12
Django >= 5.2.6


下载链接:::https://www.djangoproject.com/download/


3.2 一时措施


暂无。。。


3.3 通用建议


? 定期更新系统补丁,削减系统缝隙,提升服务器的安全性。。。
加强系统和网络的接见节制,批改防火墙战术,关闭非必要的利用端口或服务,削减将危险服务(如SSH、、、RDP等)露出到公网,削减攻击面。。。
使用企业级安全产品,提升企业的网络安全机能。。。
加强系统用户和权限治理,启用多成分认证机制和最小权限准则,用户和软件权限应维持在最低限度。。。

启用强密码战术并设置为定期批改。。。


3.4 参考链接


https://nvd.nist.gov/vuln/detail/CVE-2025-57833
https://www.djangoproject.com/weblog/2025/sep/03/security-releases/