PythonのフレームワークDjangoで危険な脆弱性(CVE-2025-57833)

セキュリティニュース

投稿日時: 更新日時:

PythonのフレームワークDjangoで危険な脆弱性(CVE-2025-57833)

2025年9月3日、Djangoプロジェクトはセキュリティリリースとして 5.2.6 / 5.1.12 / 4.2.24 を公開し、脆弱性 CVE-2025-57833(深刻度「高」)に対処しました。

脆弱性の対象バージョン

Djangoのmainブランチ、およびサポート中の 以下バージョンに影響があります。

  • Django 5.2

  • Django 5.1

  • Django 4.2

とくに、アプリケーション内で FilteredRelation を用い、annotate()alias()ユーザー入力が混入するエイリアス名を辞書展開で与えているコードが

ある場合、リスクが高まります。

修正済みバージョン

本件に対処したリリースは以下のとおりです。いずれも Django セキュリティポリシーに沿ってパッチが適用されています。

  • Django 5.2.6

  • Django 5.1.12

  • Django 4.2.24

脆弱性の内容と成立条件

問題は、FilteredRelation を併用したクエリで列の別名を辞書のキーから生成し、annotate() / alias()**dict_from_input のような形で展開する実装にあります。エイリアス名が信頼できない入力に由来すると、SQL文の不正な構築につながる恐れがあります。典型的には、検索UIやAPIパラメータで「どの関連に別名を付けるか」を指定できるようにしているコードが該当します。