A equipe de desenvolvimento do Django lançou patches de segurança críticos abordando duas vulnerabilidades significativas que poderiam expor os aplicativos a negação de serviço ataques e explorações de injeção de SQL.
Os lançamentos de segurança do Django 5.2.8, 5.1.14 e 4.2.26 foram publicados em 5 de novembro de 2025, de acordo com a política de lançamento de segurança padrão do Django.
As duas vulnerabilidades divulgadas representam diferentes níveis de risco para aplicações Django implantadas. Uma vulnerabilidade de injeção de SQL de alta gravidade afeta as operações do QuerySet.
Ao mesmo tempo, uma falha de negação de serviço de gravidade moderada afeta as instalações baseadas no Windows. Os desenvolvedores Django devem priorizar a atualização de suas implantações para as versões corrigidas imediatamente.
| ID do CVE | Vulnerabilidade | Gravidade | Pontuação CVSS | Versões afetadas |
|---|---|---|---|---|
| CVE-2025-64458 | DoS via HttpResponseRedirect/HttpResponsePermanentRedirect no Windows | Moderado | 5.3 | Django 4.2, 5.1, 5.2, 6.0 (beta) |
| CVE-2025-64459 | Injeção de SQL via argumento de palavra-chave _connector em QuerySet | Alto | 9,8 | Django 4.2, 5.1, 5.2, 6.0 (beta) |
Vulnerabilidade de injeção de SQL em operações QuerySet
A vulnerabilidade mais crítica, designada CVE-2025-64459, impacta as operações de filtragem QuerySet do Django.
Pesquisadores de segurança descobriram que os métodos QuerySet.filter(), QuerySet.exclude() e QuerySet.get() junto com a classe Q() são suscetíveis à injeção de SQL quando os desenvolvedores usam um dicionário especialmente criado com expansão de dicionário como argumento _connector.
Esta vulnerabilidade permite que invasores injetem comandos SQL maliciosos em consultas de banco de dados, potencialmente permitindo acesso não autorizado, modificação ou exclusão de dados.
A gravidade desta vulnerabilidade decorre da sua acessibilidade. Os desenvolvedores que usam essas operações diárias do QuerySet podem introduzir inadvertidamente Injeção SQL vulnerabilidades se processarem entradas de usuários não confiáveis sem a validação adequada.
Um invasor que explore essa falha poderá ignorar os controles de segurança do aplicativo e executar comandos SQL arbitrários diretamente no banco de dados subjacente, tornando isso uma preocupação crítica para ambientes de produção.
Falha de negação de serviço em sistemas Windows
CVE-2025-64458 aborda uma vulnerabilidade de negação de serviço que afeta as funções HttpResponseRedirect e HttpResponsePermanentRedirect em plataformas Windows.
O problema envolve processamento ineficiente de normalização Unicode NFKC em Python, que se torna problemático ao lidar com entradas contendo um grande número de caracteres Unicode.
Os invasores podem criar solicitações especialmente criadas com dados Unicode excessivos, fazendo com que o processo de normalização consuma recursos significativos do sistema e deixe o aplicativo sem resposta.
Embora esta vulnerabilidade seja classificada como de gravidade moderada, os administradores do Windows devem permanecer vigilantes, pois a exploração bem-sucedida pode interromper a disponibilidade do serviço.
O ataque não requer autenticação e pode ser executado remotamente, tornando-se um vetor potencial para atores mal-intencionados visando aplicativos Django implantados no Windows.
Patches o tratamento de ambas as vulnerabilidades foi aplicado em todas as versões afetadas do Django, incluindo o branch principal de desenvolvimento e o Django 6.0 beta.
As organizações que executam o Django 4.2, 5.1 ou 5.2 devem atualizar imediatamente para as versões corrigidas.
As versões afetadas representam uma parcela substancial das instalações implantadas do Django, tornando esta uma preocupação de segurança generalizada que afeta o ecossistema Django mais amplo.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.