出典: Security NEXT – https://www.security-next.com/176830
Pythonフレームワーク「Django」にSQLインジェクションとDoS脆弱性が判明
人気のPythonウェブアプリケーションフレームワーク「Django」に、SQLインジェクション(SQLi)やサービス拒否(DoS)を引き起こす複数の脆弱性が発見されました。開発チームはこれらの問題に対応した修正版をリリースし、利用者に早急なアップデートを呼びかけています。
主要なポイント
- SQLインジェクション脆弱性(CVE-2025-64459)
特定のクラスにおいて、特定環境下でSQLインジェクションが可能となる脆弱性が確認されました。これは悪意ある入力により不正なSQL文が実行されるリスクを含み、データベースの情報漏洩や改ざんにつながる恐れがあります。 - サービス拒否(DoS)脆弱性(CVE-2025-64458)
Windows環境におけるPythonのUnicode正規化処理が遅延する問題に起因し、DoS攻撃が可能になる脆弱性です。攻撃者が特定の入力を送ることで、サービスの応答停止や遅延を引き起こす可能性があります。 - 脆弱性の重要度評価
米国のサイバーセキュリティ機関CISAは、SQLi脆弱性をCVSSv3.1スコア9.1(クリティカル)、DoS脆弱性を7.5(高)と評価しています。これにより、特にSQLiのリスクが非常に高いことが示されています。 - 修正版のリリース
Djangoの開発チームは「Django 5.2.8」「5.1.14」「4.2.26」の各バージョンで脆弱性を修正したアップデートを公開し、全ユーザーに対し速やかな適用を推奨しています。
技術的な詳細と背景
SQLインジェクションは、アプリケーションがユーザーからの入力を適切に検証せずにSQLクエリに組み込むことで発生します。DjangoはORM(Object-Relational Mapping)を通じてSQL操作を抽象化していますが、特定のクラスや条件下で不適切な処理が行われ、悪意ある入力が直接SQL文に影響を与える可能性がありました。
一方、DoS脆弱性はWindows環境特有の問題で、PythonのUnicode正規化処理が遅延することに起因します。Unicode正規化は文字列の一貫性を保つための処理ですが、特定の入力により処理時間が著しく増加し、結果としてサービスの応答が妨げられます。
影響と重要性
Djangoは多くのウェブサービスや企業で採用されているため、これらの脆弱性は広範囲に影響を及ぼす可能性があります。特にSQLインジェクションは、データベースの機密情報漏洩や改ざん、さらにはシステム全体の乗っ取りに繋がる重大なリスクです。また、DoS攻撃はサービスの停止を招き、ビジネスの信頼性低下や損失を引き起こします。
そのため、開発者や運用者は速やかにアップデートを適用し、脆弱性を解消することが不可欠です。
まとめ
Pythonの主要なウェブフレームワークであるDjangoに、SQLインジェクションとサービス拒否を引き起こす脆弱性が発見されました。これらは高いリスクを伴うため、開発チームが提供する修正版への早急なアップデートが推奨されます。ウェブアプリケーションの安全性を確保するため、常に最新のセキュリティ情報を追い、適切な対策を講じることが重要です。
