Django 开发团队发布了关键的安全更新，以解决一个高严重性漏洞，该漏洞可能允许攻击者使用流行的框架在 Web 服务器上执行恶意 SQL 代码。

该漏洞被识别为 CVE-2025-57833，影响 Django 的多个版本，促使紧急呼吁所有用户尽快升级其安装。

根据其安全策略，Django 发布了新版本来修复该问题：Django 5.2.6、Django 5.1.12 和长期支持 （LTS） 版本 Django 4.2.24。

该漏洞存在于 Django 的对象关系映射 （ORM） 系统的组件中。FilteredRelation

根据安全公告，攻击者可以通过将特制的字典作为关键字参数传递给 or 方法来利用此缺陷。QuerySet.annotate()QuerySet.alias()

这可能会导致 SQL 注入攻击，攻击者可以干扰应用程序对其数据库进行的查询。

Django SQL 注入漏洞

根据 Django 的安全指南，SQL 注入被归类为“高”严重性问题，因为它可能允许攻击者查看、修改或删除敏感数据，并在某些情况下完全控制受影响的数据库服务器。

受影响的受支持版本包括主开发分支和版本 5.2、5.1 和 4.2，这使得这在许多生产环境中是一个普遍的问题。

Django 团队已经对所有活动分支应用了补丁来解决该漏洞。

EyalSec 的安全研究员 Eyal Gabay 负责任地披露了这个问题，他在官方公告中得到了认可。

这一发现和随后的协调发布凸显了 Django 已建立的安全报告流程的有效性。

此过程可防止漏洞在修复程序可用之前广为人知，包括在公开发布之前通知分销商和主要利益相关者。

强烈建议使用 Django 的开发人员和系统管理员审查他们的项目并立即应用更新。

这些补丁在 Python 包索引 （PyPI） 和 Django 的官方 Git 存储库中提供了最新版本。

升级失败可能会使应用程序面临重大安全风险，包括未经授权的数据访问和潜在的数据库泄露。