Kritische Schwachstelle in Django

Durch Ausnutzung der Sicherheitslücke können Angreifende unter bestimmten Voraussetzungen Datenbankinhalte lesen, ändern oder löschen. Ursache ist eine mögliche SQL-Injektion, die in den betroffenen Django-Versionen nicht abgefangen wird.

Betroffen sind folgende Django-Versionen:

• 4.2
• 5.1
• 5.2
• 6.0 (Beta)
• Hauptentwicklungszweig

Ältere Versionen, für die es keinen Support mehr gibt, können ebenfalls betroffen sein.

Diese Schwachstelle hat die Kennung CVE-2025-64459 (EUVD-2025-37763) mit einem CVSS-Base-Score von 9.1/10.

Über eine andere Schwachstelle ist unter bestimmten Umständen ein mäßiges Risiko für einen DDoS-Angriff (Distributed Denial of Service) gegeben. Diese Lücke wird unter der Kennung CVE-2025-64458 (EUVD-2025-37765) geführt und besitzt einen CVSS-Base-Score von 7.5/10.

Dies berichten die DSF und verschiedene Medien.

Django ist ein Web-Framework. Solche Frameworks werden verwendet für die Entwicklung von dynamischen Web-Seiten, Web-Anwendungen und Web-Services.

Die DSF empfiehlt, die betriebenen Web-Frameworks schnellstmöglich mit einer abgesicherten Version zu aktualisieren, um das Risiko zu minimieren:

• 4.2.26
• 5.1.14
• 5.2.8