Múltiples vulnerabilidades en Django
Las siguientes versiones de Django:
- 5.2 anterior a 5.2.8;
- 5.1 anterior a 5.1.14;
- 4.2 anterior a 4.2.26;
Importante: No se ha verificado si las series de versiones anteriores: 5.0.x, 4.1.x y 3.2.x también están afectadas.
Django ha informado de 2 vulnerabilidades, 1 de severidad crítica descubierta por cyberstan y otra alta que podrían permitir a un atacante realizar acciones de inyección SQL y, potencialmente, realizar ataques de denegación de servicio.
Actualizar el producto a las siguientes versiones:
- 5.2.8;
- 5.1.14;
- 4.2.26.
La vulnerabilidad de severidad crítica de tipo inyección SQL afecta a los métodos ‘QuerySet.filter()’, ‘QuerySet.exclude()’ y ‘QuerySet.get()’ y a la clase ‘Q()’. Para explotar la vulnerabilidad, un atacante podría emplear un diccionario adecuadamente manipulado, con expansión de diccionario, como el argumento ‘_connector’.
La vulnerabilidad tiene asignado el identificador CVE-2025-64459.
La vulnerabilidad de severidad alta tiene el identificador CVE-2025-64458 y su detalle se puede consultar en los enlaces de las referencias.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.