Django geliştirme ekibi, saldırganların popüler çerçeveyi kullanarak web sunucularında kötü amaçlı SQL kodu yürütmesine izin verebilecek yüksek şiddetli bir güvenlik açığını ele almak için kritik güvenlik güncellemeleri yayınladı.
CVE-2025-57833 olarak tanımlanan kusur, Django’nun birden fazla sürümünü etkiler ve tüm kullanıcıların kurulumlarını mümkün olan en kısa sürede yükseltmesi için acil bir çağrı yapar.
Django, güvenlik politikası doğrultusunda sorunu çözmek için yeni sürümler yayınladı: Django 5.2.6, Django 5.1.12 ve Uzun Vadeli Destek (LTS) Django 4.2.24.
Güvenlik açığı içinde bulunur FilteredRelation Django’nun nesne-ilişkisel eşleme (ORM) sisteminin bileşeni.
Güvenlik danışmanlığına göre, bir saldırgan, özel olarak hazırlanmış bir sözlüğü bir anahtar kelime argümanı olarak geçerek bu kusuru kullanabilir. QuerySet.annotate() veya QuerySet.alias() yöntemler.
Bu, saldırganın bir uygulamanın veritabanına yaptığı sorgulara müdahale edebileceği bir SQL enjeksiyon saldırısına yol açabilir.
Django SQL Enjeksiyon Güvenlik Açığı
SQL enjeksiyonu, Django’nun güvenlik yönergeleri kapsamında “yüksek” bir önem sorunu olarak sınıflandırılır, çünkü saldırganların hassas verileri görüntülemesine, değiştirmesine veya silmesine ve bazı durumlarda etkilenen veritabanı sunucusu üzerinde tam kontrol kazanmasına izin verebilir.
Etkilenen desteklenen versiyonlar arasında ana geliştirme dalı ve 5.2, 5.1 ve 4.2 sürümleri yer alıyor, bu da bunu birçok üretim ortamı için yaygın bir sorun haline getiriyor.
Django ekibi, güvenlik açığını çözmek için tüm aktif dallara yamalar uyguladı.
Sorun, resmi duyuruda kredilendirilen Eyalsec’ten güvenlik araştırmacısı Eyal Gabay tarafından sorumlu bir şekilde açıklandı.
Bu keşif ve sonraki koordineli sürüm, Django’nun yerleşik güvenlik raporlama sürecinin etkinliğini vurgulamaktadır.
Bu prosedür, bir düzeltme yapılmadan önce istismarların yaygın olarak bilinmesini önler ve distribütörleri ve büyük paydaşları kamuya açıklanmadan önce bildirmeyi içerir.
Django kullanan geliştiriciler ve sistem yöneticileri projelerini gözden geçirmeye ve güncellemeleri hemen uygulamaya teşvik edilir.
Yamalar, Python Paket Dizin (PYPI) ve Django’nun resmi Git deposundaki en son sürümlerde mevcuttur.
Yükseltme, başvuruları yetkisiz veri erişimi ve potansiyel veritabanı uzlaşması da dahil olmak üzere önemli güvenlik risklerine maruz bırakabilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.