つみかさね

CVE-2025-64459

Critical(9.1)

CVE-2025-64459 — Django _connector引数を通じたSQLインジェクション

公開日: 2026-04-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation5.2 - 5.2.7, 5.0 - 5.1.13, <= 4.2.25

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Djangoのバージョンを確認する(python -m django --version)
  2. 2Django 5.2.8 / 5.1.14 / 4.2.26以降へアップデートする
  3. 3辞書展開でユーザー入力がキー名に含まれるパターンがないか確認する

影響対象

Django利用者

補足

  • -5.0.x以前のサポート外バージョンも影響を受ける可能性があります
CVEDjangoSQLインジェクションPythonPyPI

概要

Django 5.1.14未満、4.2.26未満、5.2.8未満において、QuerySet.filter()QuerySet.exclude()QuerySet.get() および Q() クラスの _connector 引数に、辞書展開を利用した細工された入力を渡すことでSQLインジェクションが可能な脆弱性が存在します。

CVSSベクトル

項目
スコア9.1(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation5.2 〜 5.2.7
DjangoDjango Software Foundation5.0 〜 5.1.13
DjangoDjango Software Foundation〜 4.2.25

修正バージョンと回避策

  • 修正バージョン: Django 5.2.8 / 5.1.14 / 4.2.26
  • 辞書展開によるキーワード引数の渡し方を見直し、ユーザー入力がキー名に含まれないよう確認してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database, OSV (Google) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-1287Django FilteredRelation SQLインジェクションCVSS 9.3CVE-2026-1207Django RasterField SQLインジェクションCVSS 9.3CVE-2025-59681Django カラムエイリアスSQLインジェクションCVSS 7.6

参考リンク

GHSA:https://github.com/advisories/GHSA-frmv-pr5f-9mcr
NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-64459
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。