「Django」にSQLiやDoS脆弱性 - 修正版をリリース
Python向けのウェブアプリケーションフレームワーク「Django」に複数の脆弱性が判明した。開発チームでは脆弱性に対処したアップデートを提供している。
現地時間2025年11月5日にセキュリティアドバイザリを公開し、2件の脆弱性「CVE-2025-64459」「CVE-2025-64458」について明らかにしたもの。
開発チームではそれぞれの脆弱性について重要度を「高(High)」「中(Moderate)」とレーティングしている。
具体的には、複数のクラスにおける特定の環境下に生じるSQLインジェクションの脆弱性「CVE-2025-64459」や、Windows環境でPythonによるUnicode正規化処理が遅いことに起因し、サービス拒否が生じる脆弱性「CVE-2025-64458」が確認された。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」において「CVE-2025-64459」のベーススコアを「9.1」、「CVE-2025-64458」を「7.5」と評価。それぞれ重要度を「クリティカル(Critical)」「高(High)」とした。
開発チームでは、これら脆弱性へ対処した「Django 5.2.8」「同5.1.14」「同4.2.26」をリリース。利用者にアップデートを呼びかけている。
(Security NEXT - 2025/11/07 )
ツイート
PR
関連記事
SWITCHBOT製テレビドアホンに脆弱性 - 親子機の更新を
「Fluent Bit」に認証回避やRCEなど脆弱性 - アップデートで修正
組織向けコラボツール「Mattermost」に脆弱性 - 「クリティカル」も
脅威情報共有基盤「MISP」がアップデート - 2件の脆弱性を修正
AI環境向けに分散処理フレームワーク「Ray」にRCE脆弱性
認証管理製品「Devolutions Server」に複数脆弱性 - アップデートを提供
米当局、工場設備向け「ScadaBR」のXSS脆弱性悪用を警告
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
米当局、「Chromium」ゼロデイ脆弱性に注意喚起 - 派生ブラウザも警戒を
