PT-2025-48697 · Django+4 · Django+4
Jacob Walls
+2
·
Publicado
2025-12-02
·
Atualizado
2026-01-29
·
CVE-2025-13372
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Django 4.2 até 4.2.26
Versões do Django 5.1 até 5.1.14
Versões do Django 5.2 até 5.2.8
Versões do Django 5.0.x e anteriores
Versões do Django 4.1.x e anteriores
Versões do Django 3.2.x e anteriores
Descrição
Existe um problema no Django onde
FilteredRelation está suscetível a injeção de SQL em aliases de coluna. Isso ocorre quando um dicionário manipulado é usado com expansão de dicionário, como os **kwargs passados para QuerySet.annotate() ou QuerySet.alias() no PostgreSQL. Aproximadamente 1,7 milhão de dispositivos potencialmente afetados foram identificados. O problema envolve o uso das funções QuerySet.annotate() e QuerySet.alias(), que podem ser exploradas através de aliases de coluna manipulados. O componente vulnerável é FilteredRelation.Recomendações
Atualize para a versão 5.2.9 ou posterior do Django.
Atualize para a versão 5.1.15 ou posterior do Django.
Atualize para a versão 4.2.27 ou posterior do Django.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Django
Linuxmint
Red Os
Ubuntu