Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Django

Fecha de publicación 06/11/2025
Identificador
INCIBE-2025-0613
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de Django:

  • 5.2 anterior a 5.2.8;
  • 5.1 anterior a 5.1.14;
  • 4.2 anterior a 4.2.26;

Importante: No se ha verificado si las series de versiones anteriores: 5.0.x, 4.1.x y 3.2.x también están afectadas.

Descripción

Django ha informado de 2 vulnerabilidades, 1 de severidad crítica descubierta por cyberstan y otra alta que podrían permitir a un atacante realizar acciones de inyección SQL y, potencialmente, realizar ataques de denegación de servicio. 

Solución

Actualizar el producto a las siguientes versiones:

  • 5.2.8;
  • 5.1.14;
  • 4.2.26.
Detalle

La vulnerabilidad de severidad crítica de tipo inyección SQL afecta a los métodos 'QuerySet.filter()', 'QuerySet.exclude()' y 'QuerySet.get()' y a la clase 'Q()'. Para explotar la vulnerabilidad, un atacante podría emplear un diccionario adecuadamente manipulado, con expansión de diccionario, como el argumento '_connector'.

La vulnerabilidad tiene asignado el identificador CVE-2025-64459.

La vulnerabilidad de severidad alta tiene el identificador CVE-2025-64458 y su detalle se puede consultar en los enlaces de las referencias.

CVE
Explotación
No
Nuevo Fabricante
Django
Identificador CVE
CVE-2025-64459
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Django
Identificador CVE
CVE-2025-64458
Severidad
Alta
Listado de referencias
Django - Django security releases issued: 5.2.8, 5.1.14, and 4.2.26
Github - Django vulnerable to SQL injection via _connector keyword argument in QuerySet and Q objects
Etiquetas