Django 5.1.13 紧急修复严重 SQL 注入漏洞（CVE 待分配）

Django 发布紧急补丁修复 5.1.13 中的 SQL 注入漏洞

Django 项目发布了 5.1.13 版本，旨在修复其对象关系映射（ORM）层中存在的一个严重 SQL 注入漏洞。该漏洞通过 Exploit-DB（ID: 52456）披露，可能允许攻击者在易受攻击的 Django 应用程序上执行任意 SQL 查询。

技术细节

尽管完整的技术细节仍处于保密状态（等待 CVE 分配），但该漏洞影响 Django 的 ORM 查询构造。安全研究人员指出，该漏洞源于某些查询操作中参数清理不当，可能导致以下风险：

• 通过精心构造的输入窃取数据库内容
• 通过恶意 SQL 执行提升权限
• 在启用数据库函数的配置中远程执行代码

该漏洞的利用需要用户可控的输入到达易受攻击的查询参数，因此具有公开表单的 Web 应用程序风险尤为突出。

影响分析

受影响版本

• Django 5.1.0 至 5.1.12
• 如果使用类似 ORM 模式，早期版本也可能受影响

风险因素

• CVSS 评分待定（预计为高危/严重）
• 在许多配置中无需身份验证即可利用
• 公开的漏洞利用代码可用（Exploit-DB 52456）

安全团队应注意，成功利用该漏洞可能导致数据库完全被攻陷，包括：

• 窃取敏感应用数据
• 修改或删除记录
• 通过数据库函数潜在接管服务器

缓解建议

1. 立即行动

   • 升级至 Django 5.1.13 或更高版本
   • 查阅 Exploit-DB 52456 获取检测特征

2. 防御措施

   • 实施 Web 应用防火墙（WAF）规则，阻止可疑的 SQL 模式
   • 审计 ORM 查询中的动态参数使用情况
   • 启用数据库日志记录以检测异常查询

3. 监控

   • 留意意外的数据库连接
   • 对异常查询模式或数据访问发出警报

Django 团队表示，截至本次发布，尚未观察到该漏洞在野外被主动利用，但公开的漏洞利用代码显著增加了风险。组织应优先在 24 小时内为面向互联网的应用程序打补丁。

对于无法立即升级的应用程序，建议考虑暂时禁用易受攻击的 ORM 功能，或实施额外的输入验证作为临时措施。