ГлавнаяБаза уязвимостей БДУ → BDU:2025-13913
9.4критическая

BDU:2025-13913 (CVE-2025-64459)

Уязвимость объектов QuerySet и Q программной платформы для разработки веб-приложений Django, позволяющая нарушителю раскрыть и изменить защищаемую информацию
Опубликовано: 2025-11-10
Описание

Уязвимость объектов QuerySet и Q программной платформы для разработки веб-приложений Django связана с непринятием мер по защите структуры запроса SQL при обработке аргумента с ключевым словом _connector. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть и изменить защищаемую информацию

Затрагиваемое ПО и версии
РЕД ОС (7.3)Django (6.0)Django (от 5.2 до 5.2.8)Django (от 5.1 до 5.1.14)Django (от 4.2 до 4.2.26)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://docs.djangoproject.com/en/dev/releases/security/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://docs.djangoproject.com/en/dev/releases/security/https://www.djangoproject.com/weblog/2025/nov/05/security-releaseshttps://github.com/django/django/commit/06dd38324ac3d60d83d9f3adabf0dcdf423d2a85https://github.com/django/django/commit/6703f364d767e949c5b0e4016433ef75063b4f9bhttps://github.com/django/django/commit/72d2c87431f2ae0431d65d0ec792047f078c8241https://github.com/django/django/commit/59ae82e67053d281ff4562a24bbba21299f0a7d4https://shivasurya.me/security/django/2025/11/07/django-sql-injection-CVE-2025-64459.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена