Django geliştirme ekibi, filtrelenme özelliğinde yüksek aralıklı bir SQL enjeksiyon kusurunu keşfettikten sonra güvenlik güncellemeleri yayınladı.
Bu kusur, saldırganların beklenmedik sorgu parametreleri hazırlayarak zararlı veritabanı komutları çalıştırmasına izin verebilir. Django 5.2, 5.1 veya 4.2 çalıştıran kullanıcılar, uygulamalarını korumak için hemen yükseltmelidir.
Web Güvenlik Açığı Ayrıntıları
Django’nun filtrelasyon özelliği, geliştiricilerin filtrelere dayalı ekstra sütunlar ekleyerek karmaşık veritabanı sorguları yazmasına yardımcı olur.
Ancak, queryset.annotate () veya queryset.alias () ile kullanıldığında sözlük tuşlarını doğru bir şekilde doğrulamamıştır.
Bir saldırgan, SQL kodunu doğrudan veritabanı sorgusuna enjekte ederek sütun takma adlarının nasıl oluşturulduğunu değiştiren kötü amaçlı bir sözlük geçebilir. Böyle bir saldırı hassas verileri ortaya çıkarabilir veya izinsiz kayıtları değiştirebilir.
| CVE kimliği | Tanım | Şiddet | Etkilenen sürümler | Sabit sürümler |
| CVE-2025-57833 | Filtrelenme sütun takma adlarında SQL enjeksiyonu | Yüksek | Ana, 5.2, 5.1, 4.2 | 5.2.6, 5.1.12, 4.2.24 |
Etkilenen sürümler
Keşif sırasında desteklenen tüm sürümler aşağıdakiler dahil edildi:
- Django Main (Geliştirme Şubesi)
- Django 5.2
- Django 5.1
- Django 4.2
Ekip, takma adı taşıma mantığını düzeltmek için her dalda yamalar uyguladı. Bu yamalar Django GitHub deposu aracılığıyla mevcuttur.
Çözünürlük ve yamalar
Güvenlik düzeltmeleri ana kalkınma dalına ve sürdürülen serbest bırakma dallarına birleştirildi. Kullanıcılar aşağıdaki taahhütlerden yamaları inceleyebilir ve uygulayabilir:
- Ana Şube: 51711717098D3F469F795DFA6BC3758B24F69EF7
- 5.2 Şube: 4C044FCC866EC226F612C475950B690B0139D243
- 5.1 Şube: 102965EA93072FE3C39A30BE437C683EC1106EF5
- 4.2 Şube: 31334E6965AD136A5E369993B01721499C5D1A92
Bu yamaları uyguladıktan sonra, geliştiriciler üretime yerleştirilmeden önce test süitlerini çalıştırmalıdır.
Yükseltme sürecini basitleştirmek için ekip yeni Django sürümleri yayınladı. Her biri güvenlik düzeltmesini ve diğer küçük gelişmeleri içerir:
Her sürüm, doğrulama için PGP Anahtar Kimliği 3955B19851EA96EF kullanır. Kullanıcılar yükseltmeden önce indirmeleri doğrulamalıdır.
Django’da bir güvenlik sorunu bulursanız, bunu kamuya açıklamayın. Bunun yerine, detayları [email protected] adresine e -posta ile gönderin. Ekip, kullanıcıları korumak için katı bir açıklama politikası izler. Daha fazla bilgi için bkz. Django’nun Güvenlik Politikası.
Uygulamalarınızı SQL enjeksiyon saldırılarından korumak için Django 5.2.6, 5.1.12 veya 4.2.24’e güvenli yükseltme yapın.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.