Django 维护者已发布重要安全更新,修复两个漏洞。其中最严重的是 高危 SQL 注入缺陷,可能导致 PostgreSQL 环境中的数据库完整性受损。Django 是一款高级 Python Web 框架,为互联网上部分大型网站提供支持。
主要威胁 CVE-2025-13372 被评为“高” severity,专门针对使用 PostgreSQL 数据库且利用 FilteredRelation 类的应用程序。
技术细节显示,漏洞源于框架处理 列别名 的方式。安全公告指出:“在 PostgreSQL 环境中,当 QuerySet.annotate() 或 QuerySet.alias() 方法接收经字典扩展的特制字典作为 **kwargs 参数时,FilteredRelation 存在列别名 SQL 注入风险。” 该缺陷由安全研究员 Stackered 报告。
第二个漏洞 CVE-2025-64460 为“中” severity,但对服务可用性构成重大风险。这一拒绝服务(DoS)漏洞影响 XML 序列化器,源于 django.core.serializers.xml_serializer.getInnerText() 中的 算法复杂性问题,使攻击者可利用 XML 输入发起攻击。远程攻击者通过提交特制 XML 数据,可能导致 CPU 和内存资源被大量消耗。
公告解释:“漏洞因递归收集文本节点时的重复字符串拼接操作导致超线性计算,最终造成服务降级或中断。” 该发现归功于研究员 Seokchan Yoon。
漏洞影响所有当前支持的框架版本,包括:
- Django Main
- Django 6.0(当前为候选发布版状态)
- Django 5.2
- Django 5.1
- Django 4.2
所有相关分支(含即将发布的 6.0 版本)均已应用补丁。开发者需立即更新至最新版本(5.2.9、5.1.15 和 4.2.27)以修复这些安全漏洞。
发表评论
您还未登录,请先登录。
登录