Attaque par injection SQL : l'équipe de Django publie des mises à jour de sécurité critiques
L'équipe de développement de Django a publié des mises à jour de sécurité critiques pour remédier à une vulnérabilité de haute gravité qui pourrait permettre aux attaquants d'exécuter du code SQL malveillant sur des serveurs Web à l'aide du framework populaire. La faille, identifiée comme CVE-2025-57833 affecte plusieurs versions de Django. Ce qui provoque un appel urgent à tous les utilisateurs pour qu'ils mettent à niveau leurs installations dès que possible. Selon l'avis de sécurité, un attaquant pourrait exploiter cette faille en transmettant un dictionnaire spécialement conçu comme argument de mot-clé au QuerySet.annotate() ou QuerySet.alias() méthodes. Cela pourrait conduire à une attaque par injection SQL où l’attaquant peut interférer avec les requêtes qu’une application effectue sur sa base de données.
Risques
- Attaque par injection SQL
Systèmes affectés
- Django 5.2.6
- Django 5.1.12 et
- la version de support à long terme (LTS) Django 4.2.24
Solutions
- Mettre à jour vers les dernières versions
Source : Cyber Security News
