🔎 Cyberveille

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26.

Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable.

...

Mesures et détection proposées par l’article :

• Mise à jour immédiate vers 5.2.8, 5.1.14 ou 4.2.26 et déploiement en production.
• Revue de code des motifs vulnérables (expansion de request.GET/POST vers QuerySet).
• Bonnes pratiques : validation via Django Forms, liste blanche de paramètres, mappage explicite des champs.
• Détection : recherche de _connector et _negated dans les journaux, revue des événements d’authentification et des accès inhabituels; tests automatisés rejetant ces paramètres; usage d’outils (ex. Endor Labs) et CI/CD avec surveillance continue.

🔗 Source originale : https://www.endorlabs.com/learn/critical-sql-injection-vulnerability-in-django-cve-2025-64459

Informations sur la vulnérabilité: https://cve.circl.lu/vuln/CVE-2025-64459