O Django, um dos frameworks de desenvolvimento web mais usados no mundo, recebeu uma atualização de segurança crítica. A falha, identificada como CVE-2025-57833, poderia permitir que invasores executassem códigos maliciosos de SQL em servidores que utilizam o sistema.
Segundo os desenvolvedores do projeto, o problema estava no recurso FilteredRelation do ORM. Por meio dele, atacantes podiam explorar argumentos manipulados em funções como QuerySet.annotate() e QuerySet.alias(), abrindo brecha para ataques de SQL injection.
Essa vulnerabilidade colocava em risco dados sensíveis, que poderiam ser expostos, modificados ou até apagados, comprometendo completamente bancos de dados em situações extremas.
Versões corrigidas já disponíveis
As equipes responsáveis pelo Django já publicaram as versões corrigidas:
- Django 5.2.6
- Django 5.1.12
- Django 4.2.24 (LTS)
Todas as branches ativas receberam patches de segurança, já disponíveis no PyPI e no repositório oficial do projeto.
Reporte responsável e resposta rápida
A vulnerabilidade foi descoberta pelo pesquisador Eyal Gabay (EyalSec), que seguiu o processo de divulgação responsável. Isso permitiu ao time do Django criar e distribuir a correção antes da publicação oficial do problema, reduzindo o risco de exploração.
Recomendações para administradores e desenvolvedores
A orientação é clara: aplicar as atualizações imediatamente. Quem administra servidores ou mantém projetos em produção deve atualizar o framework o quanto antes para evitar acessos não autorizados e perda de dados.
