【漏洞通告】Django SQL 注入漏洞 (CVE-2025-57833)
发布时间 2025-09-04一、漏洞概述
漏洞名称 | Django SQL 注入漏洞 | ||
CVE ID | CVE-2025-57833 | ||
漏洞类型 | SQL注入 | 发现时间 | 2025-09-04 |
漏洞评分 | 7.1 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 高 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。它鼓励遵循“DRY”(Don't Repeat Yourself)原则,提供了丰富的内置功能,如自动化的管理界面、数据库模型、URL路由、表单处理、验证、认证等。Django是一个全栈框架,适合开发从简单应用到复杂系统的各种Web项目。其设计注重可重用性、快速开发和高效的数据库操作,使开发者能够专注于业务逻辑而非底层代码。
2025年9月4日,启明星辰集团VSRC监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate()或QuerySet.alias()的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。漏洞评分7.1分,漏洞级别高危。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://www.djangoproject.com/download/
3.2 临时措施
暂无。
3.3 通用建议
• 启用强密码策略并设置为定期修改。
京公网安备11010802024551号