Архив метки: Django

Про уязвимость SQL Injection - Django (CVE-2025-64459)

Про уязвимость SQL Injection - Django (CVE-2025-64459). Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.

🛠 6 ноября для уязвимости появился публичный эксплойт.

👾 Информации об эксплуатации в атаках пока нет.

🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday. В ноябре Linux вендоры начали устранять 516 уязвимостей, в полтора раза меньше, чем в октябре. Из них 232 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:

🔻 MemCor - Chromium (CVE-2025-13223). В CISA KEV с 19 ноября.

Ещё для 64 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Samba (CVE-2025-10230), Apache Tomcat (CVE-2025-55752), NVIDIA Container Toolkit (CVE-2024-0132, CVE-2025-23359), Lasso (CVE-2025-47151), QuickJS (CVE-2025-62494), Keras (CVE-2025-9905)
🔸 SQLi - Django (CVE-2025-64459)
🔸 InfDisc - Webmin (CVE-2024-44762), Squid (CVE-2025-62168), BIND (CVE-2025-31133), QuickJS (CVE-2025-62492, CVE-2025-62493)
🔸 SFB - BIND (CVE-2025-40778)
🔸 AuthBypass - Webmin (CVE-2025-61541)
🔸 MemCor - Suricata (CVE-2025-59150)

🗒 Полный отчёт Vulristics

Сентябрьский Linux Patch Wednesday

Добавить комментарий

Сентябрьский Linux Patch Wednesday. В сентябре Linux вендоры начали устранять 748 уязвимостей, чуть меньше, чем в августе. Из них 552 в Linux Kernel. Доля уязвимостей Linux Kernel растёт! Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 MemCor - Chromium (CVE-2025-10585). Для неё есть публичные эксплоиты.

Для 63 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - CivetWeb (CVE-2025-55763), ImageMagick (CVE-2025-55298), Asterisk (CVE-2025-49832), libbiosig (CVE-2025-46411 и ещё 22 CVE), sail (CVE-2025-32468 и ещё 7 CVE)
🔸 AuthBypass - OAuth2 Proxy (CVE-2025-54576), CUPS (CVE-2025-58060)
🔸 EoP - UDisks (CVE-2025-8067)
🔸 SQLi - Django (CVE-2025-57833)
🔸 SFB - CUPS (CVE-2025-58364)

🗒 Полный отчёт Vulristics

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Django

Про уязвимость SQL Injection - Django (CVE-2025-64459)

Ноябрьский Linux Patch Wednesday

Сентябрьский Linux Patch Wednesday