CVE-2025-57833

plus petit que 1 minute de lecture

Mis à jour : September 04, 2025

Django : Risque de déni de service et d’injection SQL dans le module ORM

Une faille de sécurité, référencée CVE-2025-57833, a été identifiée dans certaines versions de Django. Elle touche spécifiquement les versions 4.2 avant la 4.2.24, 5.1 avant la 5.1.12, et 5.2 avant la 5.2.6.

La vulnérabilité réside dans le composant FilteredRelation du système ORM (Object-Relational Mapping) de Django. Un attaquant peut exploiter cette faille en fournissant un dictionnaire spécialement conçu comme argument clé aux méthodes QuerySet.annotate() ou QuerySet.alias(). Cela ouvre la porte à l’injection de code SQL malveillant.

Points Clés :

Type de vulnérabilité : Injection SQL potentielle.
Composant affecté : FilteredRelation dans le système ORM de Django.
Méthodes exploitables : QuerySet.annotate() et QuerySet.alias().
Conséquences : Interférence avec les requêtes de base de données, entraînant potentiellement un accès ou une modification non autorisés des données.

Vulnérabilité :

CVE : CVE-2025-57833

Recommandations : Il est fortement conseillé de mettre à jour les installations de Django vers les versions corrigées :

Django 4.2.24 ou ultérieure
Django 5.1.12 ou ultérieure
Django 5.2.6 ou ultérieure

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-57833

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast