2025年9月3日、Djangoプロジェクトはセキュリティリリースとして 5.2.6 / 5.1.12 / 4.2.24 を公開し、脆弱性 CVE-2025-57833(深刻度「高」)に対処しました。
脆弱性の対象バージョン
Djangoのmainブランチ、およびサポート中の 以下バージョンに影響があります。
-
Django 5.2
-
Django 5.1
-
Django 4.2
とくに、アプリケーション内で FilteredRelation を用い、annotate() や alias() にユーザー入力が混入するエイリアス名を辞書展開で与えているコードが
ある場合、リスクが高まります。
修正済みバージョン
本件に対処したリリースは以下のとおりです。いずれも Django セキュリティポリシーに沿ってパッチが適用されています。
-
Django 5.2.6
-
Django 5.1.12
-
Django 4.2.24
脆弱性の内容と成立条件
問題は、FilteredRelation を併用したクエリで列の別名を辞書のキーから生成し、annotate() / alias() に **dict_from_input のような形で展開する実装にあります。エイリアス名が信頼できない入力に由来すると、SQL文の不正な構築につながる恐れがあります。典型的には、検索UIやAPIパラメータで「どの関連に別名を付けるか」を指定できるようにしているコードが該当します。








-200x200.png)