Kritik SQL enjeksiyon kusuru sabit


Django Web Framework geliştirme ekibinden derhal harekete geçerek ciddi bir Django web güvenlik açığı tespit edildi. Resmi olarak CVE-2025-57833 olarak kaydedilen kusur, Django’daki filtrelenme özelliğini etkiler ve saldırganların SQL enjeksiyon saldırıları yapmasına izin verebilir. Bu güvenlik açığı yüksek bir şiddet olarak işaretlenmiştir ve etkilenen sürümlerin kullanıcılarına gecikmeden yükseltmeleri istenir.

CVE-2025-57833 Filtrelenme 3 Güvenlik Açığı

Güvenlik açığı, filtre koşullarına dayalı bir sorguya ekstra sütunlar ekleyerek karmaşık veritabanı sorgularını basitleştirmek için kullanılan bir özellik içinde yer alır. Özellik geliştiriciler için değerli esneklik eklerken, tehlikeli şekillerde kullanılabilecek giriş doğrulamasında bir boşluk keşfedilmiştir.

Özellikle, filtrelasyon işlevselliği, kullanıldığında sözlük anahtarlarını düzgün bir şekilde sterilize edemedi Queryset.annotate () veya Queryset.alias (). Bu, kötü niyetli bir aktörün, sütun takma adlarının nasıl oluşturulduğunu manipüle eden anahtar kelime bağımsız değişkenleri (kwargs) aracılığıyla hazırlanmış bir sözlükten geçebileceği ve sonuçta keyfi SQL kodunu doğrudan veritabanı sorgusuna ekleyebileceği anlamına gelir.

Böyle bir istismar hassas verileri ortaya çıkarabilir, veritabanı bütünlüğünü tehlikeye atabilir veya kayıtlarda yetkisiz değişikliklere izin verebilir.

Etkilenen versiyonlar ve yamalar

Django projesine göre, bu web güvenlik açığı aşağıdaki desteklenen sürümleri etkiler:

  • Django 5.2
  • Django 5.1
  • Django 4.2
  • Ana kalkınma dalı

Bunu ele almak için Django ekibi yamalı versiyonlar yayınladı:

  • Django 5.2.6
  • Django 5.1.12
  • Django 4.2.24

Bu yamalar, kanalsız girdilerin işlenmesini önlemek için takma ad üretim mantığını düzelterek SQL enjeksiyon riskini ortadan kaldırır.

Django ekibinden resmi açıklama

3 Eylül 2025 sonrası resmi bir güvenlik sürümünde, Sarah Boyce tarafından temsil edilen Django Proje Ekibi şunları söyledi:

“Güvenlik serbest bırakma politikamıza uygun olarak, Django ekibi Django 5.2.6, Django 5.1.12 ve Django 4.2.24 için sürümler yayınlıyor. Bu sürümler aşağıda detaylandırılan güvenlik sorunlarını ele alıyor. Django’nun tüm kullanıcılarını mümkün olan en kısa sürede yükseltmeye teşvik ediyoruz.”

Post, CVE-2025-57833’ün, sorunu tanımlayan ve bunu Django ekibine özel olarak bildiren Eyalsec’ten Eyal Gabay tarafından sorumlu bir şekilde açıklandığı yönündeki detaylar.

Düzeltme nasıl uygulanır

Güvenlik yamaları, Django’nun ana şubesine ve desteklenen serbest bırakma şubelerinin her birine birleştirildi. Geliştiriciler, güncellemeleri aşağıdaki taahhüt tanımlayıcılarını kullanarak inceleyebilir ve uygulayabilir:

  • Ana Şube: 51711717098d3f469f795dfa6bc3758b24f69ef7
  • 5.2 Şube: 4C044FCC866EC226F612C475950B690B0139D243
  • 5.1 Şube: 102965E93072FE3C39A30BE437C683C1106EF5
  • 4.2 Şube: 31334E6965AD136A5E369993B01721499C5D1A92

TDjango web sitesinden yeni sürümler indirilebilir ve her sürüm, bütünlük doğrulaması için PGP Key ID 3955B19851EA96EF kullanılarak imzalanır.

Üretime dağıtılmadan önce, geliştiricilere uyumluluk ve istikrar sağlamak için yamayı uyguladıktan sonra uygulamalarını test etmeleri şiddetle tavsiye edilir.

Nihai Tavsiye

Uygulamaları CVE-2025-57833 olarak tanımlanan yüksek şiddetli Django Web güvenlik açığından korumak için Django Projesi, tüm kullanıcıları hemen yamalı sürümlere, Django 5.2.6, 5.1.12 veya 4.2.24’e yükseltmeye çağırır, özellikle de uygulamaları filtrelasyon özelliğini kullanıyorsa veya duyarlı verileri yönetir.

Bu güvenlik açığı, güncel çerçevelerin korunmasının ve proaktif güvenlik uygulamalarının uygulanmasının önemini vurgulamaktadır. Django ekibinin ve güvenlik araştırmacılarının hızlı yanıtı riski azaltmış olsa da, nihayetinde gerekli güncellemeleri uygulamak ve sistemlerini potansiyel SQL enjeksiyon tehditlerine karşı korumak geliştiricilere ve kuruluşlara bağlıdır.



Source link