Django安全更新发布：5.2.9、5.1.15与4.2.27版本

发布者：Natalia Bidart 发布日期：2025年12月2日

根据我们的安全发布策略，Django团队发布了以下版本： Django 5.2.9、 Django 5.1.15、以及 Django 4.2.27。 这些版本修复了下方详述的安全问题。我们鼓励所有Django用户尽快升级。

CVE-2025-13372: PostgreSQL上FilteredRelation列别名可能存在的SQL注入漏洞

在PostgreSQL上，当使用精心构造的字典（通过字典扩展）作为传递给QuerySet.annotate()或QuerySet.alias()的**kwargs参数时，FilteredRelation在列别名方面存在SQL注入风险。 感谢Stackered的报告。 根据Django安全政策，此问题的严重性等级为“高”。

CVE-2025-64460: XML序列化器文本提取中潜在的拒绝服务漏洞

django.core.serializers.xml_serializer.getInnerText()中的算法复杂性允许远程攻击者通过向调用XML反序列化器的服务提交特制的XML输入，引发潜在的拒绝服务攻击，导致CPU和内存耗尽。 该漏洞源于递归收集文本节点时重复的字符串连接操作，产生了超线性计算，从而导致服务性能下降或中断。 感谢Seokchan Yoon (https://ch4n3.kr/) 的报告。 根据Django安全政策，此问题的严重性等级为“中等”。

受影响的受支持版本

• Django主分支
• Django 6.0（当前处于候选发布状态）
• Django 5.2
• Django 5.1
• Django 4.2

解决方案

修复该问题的补丁已应用于Django的以下分支：主分支、6.0（当前处于候选发布状态）、5.2、5.1和4.2。可以从以下变更集中获取补丁。

CVE-2025-13372: PostgreSQL上FilteredRelation列别名可能存在的SQL注入漏洞

• 在主分支上
• 在6.0分支上
• 在5.2分支上
• 在5.1分支上
• 在4.2分支上

CVE-2025-64460: XML序列化器文本提取中潜在的拒绝服务漏洞

• 在主分支上
• 在6.0分支上
• 在5.2分支上
• 在5.1分支上
• 在4.2分支上

已发布的版本

• Django 5.2.9 (下载Django 5.2.9 | 5.2.9校验和)
• Django 5.1.15 (下载Django 5.1.15 | 5.1.15校验和)
• Django 4.2.27 (下载Django 4.2.27 | 4.2.27校验和)

本次发布使用的PGP密钥ID是：Natalia Bidart: 2EE82A8D9470983E

关于安全报告的一般说明

一如既往，我们要求潜在的安全问题通过私人电子邮件报告至 security@djangoproject.com，而不是通过Django的Trac实例或Django论坛。更多信息请参阅我们的安全政策。