En popüler Python web geliştirme çerçevelerinden biri olan Django, saldırganların SQL enjeksiyon saldırıları yürütmesine ve hizmet reddi saldırıları başlatmasına olanak verebilecek iki kritik güvenlik açığını açıkladı.
CVE-2025-64458 ve CVE-2025-64459 olarak tanımlanan güvenlik açıkları, çerçevenin temel bileşenlerini etkiliyor ve uygulamalarında Django kullanan geliştiricilerin derhal ilgilenmesini gerektiriyor.
İki güvenlik açığından daha ciddi olanı olan CVE-2025-64459, yüksek önem derecesi taşıyor ve Django’nun QuerySet ve Q nesnelerinde potansiyel bir SQL enjeksiyon zayıflığı içeriyor.
SQL Enjeksiyonu ve Windows’a Özel DoS Güvenlik Açığı
Güvenlik araştırmacısı Cyberstan, Q() sınıfıyla birlikte QuerySet.The filter(), QuerySet.exclude() ve QuerySet.get() yöntemlerinin, sözlük genişletmeyle _connector anahtar kelime bağımsız değişkenini kullanan özel hazırlanmış sözlükler işlenirken saldırıya açık olduğunu keşfetti.
Bu kusur, kötü niyetli aktörlerin veritabanı sorgularına rastgele SQL komutları eklemesine, potansiyel olarak hassas verileri tehlikeye atmasına veya arka uç sistemlere yetkisiz erişim elde etmesine olanak tanıyabilir.
SQL enjeksiyonu en tehlikeli web uygulaması güvenlik açıklarından biri olmaya devam ediyor ve bu keşif özellikle web altyapıları için Django’ya güvenen kuruluşlar için endişe verici hale geliyor.
İkinci güvenlik açığı olan CVE-2025-64458, Windows’ta çalışan Django kurulumlarını etkiliyor.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Sürümler | CVSS Puanı |
|---|---|---|---|
| CVE-2025-64458 | Hizmet Reddi (DoS) | Django 4.2, 5.1, 5.2, 6.0 (beta) | 5.3 |
| CVE-2025-64459 | SQL Enjeksiyonu | Django 4.2, 5.1, 5.2, 6.0 (beta) | 9.8 |
ch4n3.KR’den Seokchan Yoon, HttpResponseRedirect ve HttpResponsePermanentRedirect işlevlerindeki bu orta düzeydeki hizmet reddi zayıflığını tespit etti. Sorun, Windows’ta Python’daki yavaş NFKC normalleştirmesinden kaynaklanıyor.
Saldırganlar, çok sayıda Unicode karakter içeren girişler göndererek bu performans darboğazından yararlanabilir, bu da uygulamanın aşırı kaynak tüketmesine ve potansiyel olarak yanıt vermemesine neden olabilir.
Orta derecede önem derecesine sahip olmasına rağmen bu güvenlik açığı yine de hizmetleri kesintiye uğratabilir ve Windows tabanlı Django dağıtımlarındaki kullanıcı deneyimini etkileyebilir.
Django geliştiricileri kurulumlarını mümkün olan en kısa sürede en son yamalı sürümlere güncellemelidir.
Windows sistemlerinde Django kullanan kuruluşların DoS güvenlik açığına özellikle dikkat etmesi gerekir. Aynı zamanda, tüm Django kullanıcılarının işletim sistemlerinden bağımsız olarak SQL enjeksiyon kusurunu ele alması gerekir.
Düzenli güvenlik güncellemeleri ve Django’nun en iyi güvenlik uygulamalarının takip edilmesi, güvenli web uygulamalarının sürdürülmesi için temel olmaya devam etmektedir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
