Se han descubierto vulnerabilidades de severidad crítica y alta en productos Django. Un actor malicioso podría ejecutar código SQL arbitrario en la base de datos subyacente de una aplicación web o provocar un ataque de denegación de servicio mediante el envío de datos especialmente diseñados.
Productos afectados
- Django: 4.2.x, versiones anteriores a 4.2.26; 5.1.x, versiones anteriores a 5.1.14; 5.2.x, versiones anteriores a 5.2.8
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-64459: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL en el uso de un parámetro interno. Un actor malicioso podría manipular la lógica de las consultas y obtener acceso no autorizado, eludir controles de autenticación o escalar privilegios dentro de la aplicación.
CVE-2025-64458: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio por normalización Unicode lenta (NFKC) en plataformas Windows. Un actor malicioso podría enviar entradas Unicode especialmente diseñadas para agotar recursos del sistema y hacer que la aplicación no responda.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-64459
- https://nvd.nist.gov/vuln/detail/CVE-2025-64458
- https://www.djangoproject.com/weblog/2025/nov/05/security-releases/