ГлавнаяБаза уязвимостей БДУ → BDU:2025-11748
5.6высокая

BDU:2025-11748 (CVE-2025-48432)

Уязвимость функций annotate() и alias() программной платформы для веб-приложений Django, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-09-26
Описание

Уязвимость функций LoginView, LogoutView и set_language() программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
openSUSE TumbleweedUbuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Fedora (41)SUSE Linux Enterprise Module for Package Hub (15 SP6)Ubuntu (24.04 LTS)OpenSUSE Leap (15.6)SUSE Package Hub (15 SP6)Fedora (42)SUSE Linux Enterprise Module for Package Hub (15 SP7)Ubuntu (25.04)Debian GNU/Linux (13)Fedora EPEL (epel9)Fedora EPEL (epel8)Django (от 4.2 до 4.2.24)Django (от 5.1 до 5.1.12)Django (от 5.2 до 5.2.6)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:

Для Django:
https://docs.djangoproject.com/en/dev/releases/security/

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-django-cve-2025-48432-cve-2025-57833/?sphrase_id=1313766

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-57833

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-57833

Для Ubuntu:
https://ubuntu.com/security/CVE-2025-57833

Для Fedora:
https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/
https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/
https://bugzilla.redhat.com/show_bug.cgi?id=2393807
https://bugzilla.redhat.com/show_bug.cgi?id=2393805

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-57833.html

Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u8

Оценка CVSS
Балл5.6 — высокая опасность
Источники и патчи
https://docs.djangoproject.com/en/dev/releases/security/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-django-cve-2025-48432-cve-2025-57833/?sphrase_id=1313766https://security-tracker.debian.org/tracker/CVE-2025-57833https://access.redhat.com/security/cve/cve-2025-57833https://ubuntu.com/security/CVE-2025-57833https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/https://bugzilla.redhat.com/show_bug.cgi?id=2393807
Проверьте безопасность своего сайта и почты → Полная проверка домена