Wiz
Banco de Dados de VulnerabilidadesCVE-2025-59681

CVE-2025-59681
Django Análise e mitigação de vulnerabilidades

Visão geral

A SQL injection vulnerability (CVE-2025-59681) was discovered in Django versions 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The vulnerability affects QuerySet.annotate(), QuerySet.alias(), QuerySet.aggregate(), and QuerySet.extra() methods when using MySQL and MariaDB databases. The issue was discovered and reported by security researcher sw0rd1ight, and was publicly disclosed on October 1, 2025 (Django Weblog).

Detalhes técnicos

The vulnerability occurs when using a suitably crafted dictionary with dictionary expansion as **kwargs passed to the affected QuerySet methods (annotate(), alias(), aggregate(), and extra()) specifically on MySQL and MariaDB databases. The issue allows SQL injection attacks through column aliases. The vulnerability has been assigned a CVSS v3.1 base score of 9.8 (CRITICAL) by NIST NVD, indicating the highest severity level (NVD).

Impacto

If exploited, this vulnerability could allow an attacker to perform SQL injection attacks through column aliases when using the affected QuerySet methods. Given the CVSS score of 9.8, this indicates potential for complete compromise of system confidentiality, integrity, and availability on affected systems using MySQL or MariaDB as their database backend (NVD).

Mitigação e soluções alternativas

The Django team has released patches for all affected versions: Django 4.2.25, Django 5.1.13, and Django 5.2.7. Users are strongly encouraged to upgrade to these patched versions immediately. The fixes have been applied to Django's main branch, 6.0 (alpha status), 5.2, 5.1, and 4.2 branches (Django Weblog).

Recursos adicionais

OrigemEste relatório foi gerado usando IA

Relacionado Django Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2025-59681CRITICAL9.8
  • DjangoDjango
  • awx
NãoSimOct 01, 2025
CVE-2025-64459CRITICAL9.1
  • DjangoDjango
  • python-django
NãoSimNov 05, 2025
CVE-2025-57833HIGH8.1
  • DjangoDjango
  • django
NãoSimSep 03, 2025
CVE-2025-64458HIGH7.5
  • DjangoDjango
  • python-django
NãoSimNov 05, 2025
CVE-2025-59682MEDIUM6.5
  • DjangoDjango
  • python311-Django
NãoSimOct 01, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração