Django 开发团队发布了关键的安全更新,以解决一个高严重性漏洞,该漏洞可能允许攻击者使用流行的框架在 Web 服务器上执行恶意 SQL 代码。
该漏洞被识别为 CVE-2025-57833,影响 Django 的多个版本,促使紧急呼吁所有用户尽快升级其安装。
根据其安全策略,Django 发布了新版本来修复该问题:Django 5.2.6、Django 5.1.12 和长期支持 (LTS) 版本 Django 4.2.24。
该漏洞存在于 Django 的对象关系映射 (ORM) 系统的组件中。FilteredRelation
根据安全公告,攻击者可以通过将特制的字典作为关键字参数传递给 or 方法来利用此缺陷。QuerySet.annotate()QuerySet.alias()
这可能会导致 SQL 注入攻击,攻击者可以干扰应用程序对其数据库进行的查询。
Django SQL 注入漏洞
根据 Django 的安全指南,SQL 注入被归类为“高”严重性问题,因为它可能允许攻击者查看、修改或删除敏感数据,并在某些情况下完全控制受影响的数据库服务器。
受影响的受支持版本包括主开发分支和版本 5.2、5.1 和 4.2,这使得这在许多生产环境中是一个普遍的问题。
Django 团队已经对所有活动分支应用了补丁来解决该漏洞。
EyalSec 的安全研究员 Eyal Gabay 负责任地披露了这个问题,他在官方公告中得到了认可。
这一发现和随后的协调发布凸显了 Django 已建立的安全报告流程的有效性。
此过程可防止漏洞在修复程序可用之前广为人知,包括在公开发布之前通知分销商和主要利益相关者。
强烈建议使用 Django 的开发人员和系统管理员审查他们的项目并立即应用更新。
这些补丁在 Python 包索引 (PyPI) 和 Django 的官方 Git 存储库中提供了最新版本。
升级失败可能会使应用程序面临重大安全风险,包括未经授权的数据访问和潜在的数据库泄露。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
