漏洞详情
Django在QuerySet.filter()、QuerySet.exclude()、QuerySet.get()方法和Q()类中存在SQL注入漏洞,当使用特制字典作为_connector参数时可能被利用。
受影响版本
-
= 5.2a1, < 5.2.8
-
= 5.0a1, < 5.1.14
- < 4.2.26
已修复版本
- 5.2.8
- 5.1.14
- 4.2.26
技术描述
该漏洞影响Django 5.1(5.1.14之前)、4.2(4.2.26之前)和5.2(5.2.8之前)版本。当使用字典展开作为_connector参数时,攻击者可以构造恶意字典进行SQL注入攻击。较早的不受支持的Django系列(如5.0.x、4.1.x和3.2.x)未经过评估,也可能受到影响。
安全评分
- 严重等级: 严重
- CVSS评分: 9.1/10
- CVSS向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
相关链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-64459
- https://docs.djangoproject.com/en/dev/releases/security
- https://www.djangoproject.com/weblog/2025/nov/05/security-releases
弱点分类
- CWE: CWE-89 - SQL命令中使用的特殊元素中和不当(SQL注入)