Origine : bjCSIRT
Numéro : 2025/ALERTE/062
Date de l’alerte : 07/10/2025
APERÇU :
Le framework Django est affecté par une vulnérabilité qui permettrait à un acteur malveillant de manipuler certaines requêtes SQL afin d’injecter du code malveillant
DESCRIPTION :
Django est un framework open-source basé sur le langage python permettant aux développeurs de créer plus facilement des applications web. Elle offre plusieurs fonctionnalités, notamment la gestion des comptes utilisateurs, ce qui permet à la fois de gagner du temps et de renforcer la sécurité des applications.
Ce framework est affecté par une vulnérabilité libellée CVE-2025-59681, permettant à un acteur malveillant d’injecter du code SQL malveillant. Cette vulnérabilité provient d’une validation insuffisante des alias de colonnes dans certaines requêtes SQL (annotate(), alias (), aggregate(), extra ()), permettant à un acteur malveillant de manipuler les noms de colonnes générés par l’application et d’injecter du code SQL, compromettant ainsi la confidentialité et l’intégrité des données sur MySQL et MariaDB
Cette vulnérabilité est classée Elevée avec un score de sévérité de 7.1 selon le CVSS 3.1.
IMPACT :
- Exécution de code à distance ;
- Atteinte à l’intégrité des données ;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Django 4.2 avant 4.2.25
- Django 5.1 avant 5.1.13
- Django 5.2 avant 5.2.7
MESURES À PRENDRE :
Mettre à jour Django vers les versions :
- 4.2.25 ou version ultérieure
- 5.1.13 ou version ultérieure
- 5.2.7 ou version ultérieure
RÉFÉRENCES :
