El proyecto publica las versiones 5.2.9, 5.1.15 y 4.2.27 para mitigar dos fallos que afectan a todas las ramas soportadas, incluida la futura Django 6.0.
En los últimos días se han hecho públicas varias vulnerabilidades en Django que han encendido las alarmas entre desarrolladores y equipos de seguridad. No se trata de un fallo aislado, sino de varios problemas encadenados que, combinados, pueden abrir la puerta a inyección SQL y ataques de denegación de servicio en aplicaciones basadas en este framework de Python.
El primero, CVE-2025-13372, es una vulnerabilidad de inyección SQL clasificada como de gravedad alta y que afecta a despliegues con PostgreSQL. El problema está en la clase FilteredRelation y en la forma en que el ORM gestiona los alias de columna. Si una aplicación expone parámetros que terminan en QuerySet.annotate() o QuerySet.alias(), un atacante podría construir un diccionario especialmente preparado y conseguir que Django genere consultas con fragmentos de SQL controlados por él. El resultado potencial: lectura o modificación de datos, borrado de información o acceso más amplio del previsto a la base de datos.
La segunda vulnerabilidad, CVE-2025-64460, tiene un enfoque distinto: afecta a la disponibilidad del servicio. El fallo reside en el serializador XML, en concreto en el método django.core.serializers.xml_serializer.getInnerText(). El código concatena cadenas de forma poco eficiente; con XML diseñado para explotar este comportamiento, el servidor puede acabar dedicando mucho más tiempo y recursos de los esperados al procesamiento, hasta disparar el uso de CPU y memoria y provocar una denegación de servicio.
Django ha publicado versiones corregidas en las ramas 5.2.9, 5.1.15 y 4.2.27, y advierte de que todas las versiones soportadas, incluida la rama principal y la futura Django 6.0 en fase candidata, están afectadas.
Para equipos de seguridad y desarrollo, el mensaje es claro: actualizar cuanto antes, revisar logs en busca de consultas anómalas o patrones extraños en el uso de XML y, cuando sea posible, reforzar validaciones de entrada y controles perimetrales para reducir la ventana de exposición.
Más información:
- Multiple Django Vulnerabilities Enables SQL Injection and Denial-of-Service Attacks https://cybersecuritynews.com/multiple-django-vulnerabilities/
- Multiple Django Vulnerability Expose Applications to SQL Injection and DoS Attacks https://gbhackers.com/multiple-django-vulnerability-expose-applications-to-sql-injection/
- CVE-2025-64460 Detail https://nvd.nist.gov/vuln/detail/CVE-2025-64460
- CVE-2025-13372 Detail https://nvd.nist.gov/vuln/detail/CVE-2025-13372
- Django security releases issued: 5.2.9, 5.1.15, and 4.2.27 https://www.djangoproject.com/weblog/2025/dec/02/security-releases/
Deja una respuesta