Origine : bjCSIRT

Numéro : 2025/ALERTE/071

Date de l’alerte : 07/11/2025 

APERÇU :

Le framework Django est affecté par une vulnérabilité qui permettrait à un acteur malveillant de manipuler certaines requêtes SQL afin d’injecter du code malveillant. 

DESCRIPTION :

Django est un framework open source basé sur le langage python permettant aux développeurs de créer plus facilement des applications web. Elle offre plusieurs fonctionnalités, notamment la gestion des comptes utilisateurs, ce qui permet à la fois de gagner du temps et de renforcer la sécurité des applications.
Ce framework est affecté par une vulnérabilité libellée CVE-2025-64459, permettant à un acteur malveillant d’injecter du code SQL malveillant.  

Cette vulnérabilité affecte les méthodes QuerySet.filter(), QuerySet.exclude(), QuerySet.get() et la classe Q(), et permettrait à un acteur malveillant d’injecter du code malveillant via le paramètre _connector. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.1 selon le CVSS 3.1. 

 IMPACT :

• Exécution de code à distance ;
• Atteinte à l’intégrité des données ;
• Atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS : 

• Django 5.2 avant 5.2.8 

• Django 5.1 avant 5.1.14 

• Django 4.2 avant 4.2.26 

MESURES À PRENDRE :

• 5.2.8 ou version ultérieure 

• 5.1.14 ou version ultérieure 

• 4.2.26 ou version ultérieure 

RÉFÉRENCES :

• https://www.cvedetails.com/cve/CVE-2025-64459/
• https://www.djangoproject.com/weblog/2025/nov/05/security-releases/
• https://nvd.nist.gov/vuln/detail/CVE-2025-64459