Se han divulgado dos vulnerabilidades críticas en el framework Django que permiten ataques de inyección SQL y denegación de servicio (DoS). Las fallas afectan componentes centrales, incluyendo QuerySet y objetos Q para inyección SQL, y funciones HttpResponseRedirect en Windows para DoS. Estas vulnerabilidades requieren atención inmediata para mitigar impactos como acceso no autorizado a datos y agotamiento de recursos del sistema.
CVE y severidad
| CVE ID | Tipo de vulnerabilidad | Versiones afectadas | Puntaje CVSS | Severidad |
|---|---|---|---|---|
| CVE-2025-64459 | Inyección SQL | Django 4.2, 5.1, 5.2, 6.0 (beta) | 9.8 | Alta |
| CVE-2025-64458 | Denegación de Servicio (DoS) | Django 4.2, 5.1, 5.2, 6.0 (beta) | 5.3 | Media |
Productos afectados
El framework Django en versiones 4.2, 5.1, 5.2 y 6.0 (beta) está afectado por las dos vulnerabilidades reportadas; la inyección SQL impacta los métodos QuerySet.filter(), QuerySet.exclude(), QuerySet.get() y la clase Q(), mientras que la vulnerabilidad DoS afecta funciones HttpResponseRedirect y HttpResponsePermanentRedirect en sistemas Windows.
Solución
Actualizar Django a la última versión parcheada disponible.
Recomendaciones
Priorizar la aplicación inmediata de parches de seguridad para mitigar las vulnerabilidades.
Windows: prestar especial atención a la vulnerabilidad DoS.
General: validar entradas que involucren consultas SQL para prevenir inyecciones y realizar monitoreo continuo tras la actualización.