Django geliştirme ekibi, popüler Python web çerçevesinin üç ana sürümü için, uygulamaları SQL enjeksiyon saldırılarına ve hizmet reddi koşullarına maruz bırakabilecek iki önemli güvenlik açığını ele alan kritik güvenlik yamaları yayınladı.
2 Aralık 2025’te yayınlanan güncellemeler, Django 5.2.9, 5.1.15 ve 4.2.27 sürümlerinin yanı sıra yakında çıkacak Django 6.0 sürüm adayını ve ana geliştirme dalını da etkiliyor.
| CVE Kimliği | Güvenlik Açığı | Şiddet |
|---|---|---|
| CVE-2025-13372 | FilteredRelation’da SQL Enjeksiyonu | Yüksek |
| CVE-2025-64460 | XML Serileştiricide Hizmet Reddi | Ilıman |
Yüksek Derecede SQL Enjeksiyon Güvenlik Açığı
CVE-2025-13372 olarak izlenen ilk güvenlik açığı, PostgreSQL veritabanlarıyla kullanıldığında FilteredRelation özelliğinde yüksek önemde bir SQL ekleme kusurunu temsil ediyor.
Güvenlik araştırmacısı Stackered, saldırganların, sözlük genişletme özelliğine sahip özel hazırlanmış sözlükleri anahtar kelime bağımsız değişkenleri olarak QuerySet.annotate() veya QuerySet.alias() yöntemlerine geçirerek bu zayıflıktan yararlanabileceğini keşfetti.
Güvenlik açığı özellikle FilteredRelation’daki sütun takma adlarını etkileyerek kötü niyetli kişilerin veritabanı sorgularına rastgele SQL kodu eklemesine olanak tanıyor.
Bu tür bir saldırı, PostgreSQL’de çalışan, etkilenen Django uygulamalarındaki verilere yetkisiz erişime, verilere yetkisiz erişime, değişiklik yapılmasına veya silinmesine olanak sağlayabilir.
Orta Derecede Hizmet Reddi Sorunu
İkinci güvenlik açığı olan CVE-2025-64460, Django’nun XML serileştirme işlevinde orta düzeyde bir hizmet reddi tehdidi oluşturuyor.
Güvenlik araştırmacısı Seokchan Yoon, Django.core.serializers.xml_serializer.getInnerText() işlevinde algoritmik bir karmaşıklık sorunu tespit etti.
Saldırganlar, aşırı CPU ve bellek tüketimini tetikleyen, XML Seri Hale Getiriciyi çağıran hizmetlere özel hazırlanmış XML girdisi göndererek bu zayıflıktan yararlanabilirler.
Güvenlik açığı, özyinelemeli metin düğümü toplama sırasında tekrarlanan dize birleştirme işlemlerinden kaynaklanıyor ve hizmet performansını düşürebilecek veya tamamen kesintilere neden olabilecek süper doğrusal hesaplama karmaşıklığına yol açıyor.
Güvenlik açıkları, Django 4.2, 5.1, 5.2 ve yakında çıkacak olan 6.0 sürüm adayı da dahil olmak üzere şu anda desteklenen tüm Django sürümlerini etkiliyor.
Django güvenlik ekibi, etkilenen tüm şubeler için GitHub’da yamalar yayınladı ve resmi Django web sitesinden indirilebilecek güncellenmiş sürümleri yayınladı.
Güncellemeler, Natalia Bidart’a ait 2EE82A8D9470983E PGP anahtar kimliğiyle imzalandı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.