概要
Django開発チームは、アプリケーションをサービス拒否攻撃やSQLインジェクションの悪用から保護するための、2つの重要な脆弱性に対処する緊急セキュリティパッチをリリースしました。Djangoの標準セキュリティリリースポリシーに従い、Django 5.2.8、5.1.14、および4.2.26のセキュリティリリースが2025年11月5日に公開されました。
Djangoの脆弱性に関する緊急パッチ
今回開示された2つの脆弱性は、デプロイされたDjangoアプリケーションに対して異なるレベルのリスクをもたらします。QuerySet操作に影響を与える高 severity のSQLインジェクション脆弱性と、Windowsベースのインストールに影響を与える中 severity のサービス拒否の脆弱性です。Django開発者は、直ちにパッチが適用されたバージョンへの更新を優先する必要があります。
CVE詳細
- CVE-2025-64458: Windows上のHttpResponseRedirect/HttpResponsePermanentRedirectを介したDoS攻撃。Severity: 中、CVSSスコア: 5.3。影響バージョン: Django 4.2, 5.1, 5.2, 6.0 (beta)。
- CVE-2025-64459: QuerySet内の_connectorキーワード引数を介したSQLインジェクション。Severity: 高、CVSSスコア: 9.8。影響バージョン: Django 4.2, 5.1, 5.2, 6.0 (beta)。
QuerySet操作におけるSQLインジェクションの脆弱性
より深刻な脆弱性であるCVE-2025-64459は、DjangoのQuerySetフィルタリング操作に影響を与えます。セキュリティ研究者らは、QuerySet.filter()、QuerySet.exclude()、およびQuerySet.get()メソッドとQ()クラスが、開発者が_connector引数として特別に細工された辞書と辞書展開を使用した場合にSQLインジェクションに対して脆弱であることを発見しました。この脆弱性により、攻撃者は悪意のあるSQLコマンドをデータベースクエリに挿入し、不正なアクセス、データの変更、または削除を可能にする可能性があります。
この脆弱性の深刻さは、そのアクセシビリティに起因します。これらの日常的なQuerySet操作を使用する開発者は、信頼できないユーザー入力を適切な検証なしで処理した場合、意図せずにSQLインジェクションの脆弱性を導入する可能性があります。この欠陥を悪用する攻撃者は、アプリケーションのセキュリティ制御を回避し、基盤となるデータベースに対して任意のSQLコマンドを直接実行できるため、本番環境にとって極めて重要な懸念事項となります。
Windowsシステムにおけるサービス拒否の脆弱性
CVE-2025-64458は、Windowsプラットフォーム上のHttpResponseRedirectおよびHttpResponsePermanentRedirect関数に影響を与えるサービス拒否の脆弱性に対処します。この問題は、Pythonにおける非効率なNFKC Unicode正規化処理に関連しており、大量のUnicode文字を含む入力を処理する際に問題となります。攻撃者は、過剰なUnicodeデータを含む特別に細工されたリクエストを作成することで、正規化プロセスに大量のシステムリソースを消費させ、アプリケーションを応答不能にする可能性があります。
この脆弱性は中程度のSeverityに分類されていますが、Windows管理者は、悪用が成功した場合にサービス可用性を妨害する可能性があるため、警戒を怠らないようにする必要があります。この攻撃は認証を必要とせず、リモートで実行できるため、WindowsにデプロイされたDjangoアプリケーションを標的とする悪意のあるアクターにとって潜在的な攻撃経路となります。
推奨事項
両方の脆弱性に対処するパッチは、開発中のメインブランチおよびDjango 6.0ベータ版を含む、影響を受けるすべてのDjangoバージョンに適用されています。Django 4.2、5.1、または5.2を実行している組織は、直ちにパッチが適用されたリリースに更新する必要があります。影響を受けるバージョンは、デプロイされているDjangoインストールのかなりの部分を占めており、これは広範なDjangoエコシステムに影響を与えるセキュリティ上の懸念事項となっています。