Geliştirme ekibi, popüler web çerçevesinde bulunan iki önemli güvenlik açığını gidermek için temel güvenlik güncellemelerini resmi olarak yayınladı.
Bu sorunlar yüksek ila orta şiddet arasında değişmektedir. Saldırganların veritabanı bütünlüğünü tehlikeye atmasına veya kaynakların tükenmesi nedeniyle sunucuların çökmesine olanak tanıyabilirler.
CVE-2025-13372 olarak takip edilen en kritik kusur, PostgreSQL kullanan projeleri etkileyen yüksek önemdeki SQL enjeksiyon güvenlik açığıdır. Sorun, FilteredRelation sınıfında, özellikle de sütun takma adlarını nasıl işlediğinde yatmaktadır.
Saldırganlar, QuerySet.annotate() veya QuerySet.alias()’a iletilen belirli bir sözlük hazırlayarak (sözlük genişletmeyi kullanarak) bundan yararlanabilir. Başarılı olursa, bu manipülasyon kötü amaçlı SQL kodunun veritabanı sorgusuna eklenmesine izin verir.
İkinci güvenlik açığı olan CVE-2025-64460, XML serileştiricisini içeren orta önemde bir sorundur.
Django, Django.core.serializers.xml_serializer yöntemini keşfetti. getInnerText() algoritmik karmaşıklık sorunlarından muzdariptir.
| CVE Kimliği | Güvenlik Açığı Türü | Şiddet |
|---|---|---|
| CVE-2025-13372 | SQL Enjeksiyonu | Yüksek |
| CVE-2025-64460 | Hizmet Reddi (DoS) | Ilıman |
Bir uygulama özel hazırlanmış XML girişini işlediğinde, seri hale getirici metin düğümlerini toplarken dizeleri tekrar tekrar birleştirir.
Django, 5.2.9, 5.1.15 ve 4.2.27 güvenlik güncellemelerini yayımladı ve geliştiricilere olası saldırılardan kaçınmak için hemen yükseltme yapmaları şiddetle tavsiye ediliyor.
Bu yinelenen süreç “süper doğrusal” hesaplama süresine yol açarak sunucunun CPU ve bellek kullanımının artmasına neden olabilir.
Uzaktaki bir saldırgan, bunu bir hizmet reddi (DoS) saldırısını tetiklemek, hizmeti etkili bir şekilde çökertmek veya yanıt vermez hale getirmek için kullanabilir.
Bu güvenlik açıkları, ana dal ve yakında yayınlanacak olan Django 6.0 (şu anda sürüm adayı statüsünde) dahil olmak üzere Django’nun tüm desteklenen sürümlerini etkilemektedir.
Ana şubeyi veya Django 6.0 sürüm adayını kullanan geliştiriciler, projelerinin güvenli olduğundan emin olmak için en son taahhütleri resmi depodan almalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
