Про уязвимость SQL Injection - Django (CVE-2025-64459). Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.
⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.
🛠 6 ноября для уязвимости появился публичный эксплойт.
👾 Информации об эксплуатации в атаках пока нет.
🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.