Django漏洞CVE-2025-64458和CVE-2025-64459

Django 是一个高效、简洁、安全且功能强大的 Python web 应用框架，旨在简化 web 应用开发过程，用于快速开发安全、可维护的网站。

Django遵循一种称为MTV（模型-模板-视图）模式的架构模式，是免费和开源的，拥有活跃繁荣的社区、丰富的文档，以及很多解决方案。

一、基本情况

Django是一个高级的PythonWeb应用框架，可以帮助开发者更快速地构建、维护和扩展应用程序，从而能够快速开发安全和可维护的网站。

Django设计注重可重用性、快速开发和高效的数据库操作，使开发者专注于业务逻辑而非底层代码，专注于编写应用程序而无需重新开发。

栋科技漏洞库关注到Django中存在的两个漏洞，漏洞分别被追踪为CVE-2025-64458、CVE-2025-64459，CVSS 3.X评分分别为7.5和9.1。

二、漏洞分析

CVE-2025-64458

CVE-2025-64458漏洞是存在于Django在Windows系统上的拒绝服务漏洞，该漏洞主要是针对Windows部署的Django应用的潜在攻击向量。

攻击者可构造包含过量Unicode数据的特制请求，使规范化过程占用显著系统资源，最终导致应用瘫痪，攻击无需身份验证且可远程执行。

源于Python中低效的NFKC Unicode规范化处理，当处理包含大量Unicode字符的输入时，该过程会消耗大量系统资源，导致应用无响应。

该漏洞是Windows平台上HttpResponseRedirect和HttpResponsePermanentRedirect函数的拒绝服务漏洞，成功利用可能中断服务可用性。

CVE-2025-64459

CVE-2025-64459是一个影响Django ORM（对象关系映射）的SQL注入漏洞，位于QuerySet的filter()、exclude()、get()方法及Q类使用中。

该漏洞影响Django的QuerySet过滤操作，攻击者可利用该漏洞执行未授权的数据库操作，可能导致敏感数据泄露、数据篡改或数据丢失。

攻击者通过字典扩展方式传递精心构造字典作为_connector关键字参数时，Django在构造SQL查询时未正确处理，导致恶意SQL代码注入。

攻击者可利用该漏洞绕过应用程序的SQL查询安全机制，直接对底层数据库执行任意SQL命令，执行未授权的数据库操作，潜在危害极大。

漏洞的严重性源于高可利用性，开发者日常使用这些QuerySet操作时，若处理未经验证的不可信用户输入，可能无意中引入SQL注入漏洞。

三、影响范围

Django < 5.1.14

Django < 4.2.26

Django < 5.2.8

早期不受支持的Django版本（如5.0.x、4.1.x、3.2.x）可能也受到影响，但未被正式评估

四、修复建议

官方已发布修复补丁，以修复该漏洞。

Django >= 5.1.14

Django >= 4.2.26

Django >= 5.2.8

五、参考链接

管理员已设置登录后刷新可查看