Se han publicado actualizaciones de seguridad que abordan vulnerabilidades en Django. Un actor malicioso podría aprovechar estas vulnerabilidades para la manipulación de datos o la divulgación de información.
Productos afectados
- Django 5.2 (anteriores a 5.2.7).
- Django 5.1 (anteriores a 5.1.13).
- Django 4.2 (anteriores a 4.2.25).
Impacto
La vulnerabilidad de mayor severidad se ha identificado como:
CVE-2025-59681: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL (CWE-89) en alias de columnas al usar diccionarios con expansión (**kwargs) en QuerySet.annotate(), alias(), aggregate() y extra() sobre MySQL/MariaDB. Un actor malicioso podría acceder a información sensible y alterar resultados de consultas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-59681
- https://www.djangoproject.com/weblog/2025/oct/01/security-releases/