https://blog.qife122.com/tags/django%E6%A1%86%E6%9E%B6/ Recent content in Django框架 on 办公AI智能小助手 Hugo zh-cn qife Mon, 08 Dec 2025 01:08:49 +0800 https://blog.qife122.com/p/django%E6%A1%86%E6%9E%B6sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E4%B8%8E%E5%88%A9%E7%94%A8%E8%84%9A%E6%9C%AC/ Mon, 08 Dec 2025 01:08:49 +0800 https://blog.qife122.com/p/django%E6%A1%86%E6%9E%B6sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E4%B8%8E%E5%88%A9%E7%94%A8%E8%84%9A%E6%9C%AC/ <h1 id="漏洞概述">漏洞概述</h1> <p>本文档详细描述了在Django框架特定版本中发现的一个SQL注入漏洞（已分配CVE编号：2025-64459）。该漏洞存在于Django的QuerySet方法（<code>filter</code>、<code>exclude</code>、<code>get</code>）和<code>Q</code>对象中。当使用一个经过特殊构造的字典作为<code>_connector</code>参数并允许扩展时，可能导致SQL注入。</p> https://blog.qife122.com/p/django%E5%9C%A8windows%E5%B9%B3%E5%8F%B0%E5%AD%98%E5%9C%A8%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E-cve-2025-64458%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Wed, 12 Nov 2025 10:03:02 +0800 https://blog.qife122.com/p/django%E5%9C%A8windows%E5%B9%B3%E5%8F%B0%E5%AD%98%E5%9C%A8%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E-cve-2025-64458%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="django拒绝服务漏洞分析">Django拒绝服务漏洞分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>Django框架在Windows操作系统上存在一个拒绝服务漏洞，影响版本包括：</p> <ul> <li>5.2系列：&gt;= 5.2a1, &lt; 5.2.8</li> <li>5.1系列：&gt;= 5.0a1, &lt; 5.1.14</li> <li>4.2系列：&lt; 4.2.26</li> </ul> <h2 id="技术细节">技术细节</h2> <h3 id="漏洞成因">漏洞成因</h3> <p>该漏洞源于Python在Windows平台上的NFKC规范化处理效率问题。当处理包含大量Unicode字符的特定输入时，以下Django组件会受到潜在拒绝服务攻击：</p>