Djangoで高リスクの脆弱性-SQLインジェクション(CVE-2025-64459)とDoS(CVE-2025-64458)

Django Software Foundationは2025年11月5日（現地）にセキュリティリリースを公開し、高深刻度の脆弱性 SQLインジェクション（CVE-2025-64459）と、Windows環境におけるリダイレクト処理のDoS（CVE-2025-64458）を修正しました。

影響バージョンと修正済みリリース

影響Django main、6.0（beta）、5.2、5.1、4.2に影響し

脆弱性対応版は Django 5.2.8／5.1.14／4.2.26 に加え、mainブランチおよび6.0（beta）にもパッチが適用済みです。運用中のすべてのDjangoアプリケーションで、直ちに該当バージョンへ更新することが推奨されています。

脆弱性の詳細と影響

CVE-2025-64459（High）— _connector 引数を悪用したSQLインジェクション

• 影響箇所：QuerySet.filter()／exclude()／get() と Q() クラス

• 成因：これらのAPIに辞書展開（dictionary expansion）を伴う_connector キーワード引数を与えた場合、入力が適切にサニタイズされず、悪用可能なSQLが混入する恐れがあります。

• 想定インパクト：アプリ権限とDB構成次第でデータ改ざん・漏えい・破壊が成立し得ます。Django ORMのコア機能が関与するため、実運用への影響は重大です。

• 報告：研究者 cyberstan により報告。Djangoのセキュリティポリシー上の深刻度は「High」。

CVE-2025-64458（Moderate）— WindowsのUnicode正規化を突くリダイレクトDoS

• 影響箇所：HttpResponseRedirect／HttpResponsePermanentRedirect／redirect

• 成因：WindowsのPythonにおけるNFKC正規化処理が遅いことに起因し、非常に長大なUnicode文字列を含む入力でCPUリソースを過剰消費させられる可能性があります。

• 想定インパクト：WindowsホストのDjangoで性能低下や一時的なサービス停止を誘発。

• 報告：Seokchan Yoon により報告。深刻度は「Moderate」。

関連記事

Pythonのフレームワーク Djangoで深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907) PythonのフレームワークDjangoで危険な脆弱性(CVE-2025-57833) Pythonのフレームワーク Django、アップデートでSQLインジェクションの脆弱性を修正（CVE-2025-59681） OpenSSLが3件の脆弱性を同時公開(CVE-2025-9230 / -9231 / -9232) PostgreSQL、危険度の高い脆弱性2件や55の不具合修正(CVE-2025-8714,CVE-2025-8715) Laravel Livewireに深刻な脆弱性、数百万のWebアプリがリスクに晒される(CVE-2025-54068) Broadcom（VMware）で複数の脆弱性(CVE-2025-41244,41245,41246) GitLab、緊急アップデート公開：Runner乗っ取り（CVE-2025-11702）とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を Microsoft、2025年8月の定例パッチで107件の脆弱性を修正 -CVSS 9.8のRCE含む重大バグ多数(CVE-2025-53779)

投稿者：三村

セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。