Nhóm phát triển Django vừa phát hành các bản vá bảo mật quan trọng nhằm khắc phục hai lỗ hổng Django đáng kể. Các lỗ hổng này có thể khiến các ứng dụng gặp phải các cuộc tấn công từ chối dịch vụ (DoS) và các hình thức khai thác SQL injection nghiêm trọng. Các bản phát hành bảo mật cho Django 5.2.8, 5.1.14 và 4.2.26 đã được công bố vào ngày 5 tháng 11 năm 2025, tuân thủ chính sách phát hành bảo mật tiêu chuẩn của Django.

Hai lỗ hổng được tiết lộ đặt ra các mức độ rủi ro khác nhau đối với các ứng dụng Django đã triển khai. Một lỗ hổng SQL injection mức độ nghiêm trọng cao ảnh hưởng đến các hoạt động của QuerySet. Trong khi đó, một lỗ hổng từ chối dịch vụ mức độ trung bình tác động đến các cài đặt dựa trên Windows. Các nhà phát triển Django cần ưu tiên cập nhật hệ thống của mình lên các phiên bản đã vá lỗi ngay lập tức.

Lỗ hổng nghiêm trọng: SQL Injection trong QuerySet (CVE-2025-64459)

Lỗ hổng quan trọng hơn được định danh là CVE-2025-64459, ảnh hưởng đến các hoạt động lọc QuerySet của lỗ hổng Django. Các nhà nghiên cứu bảo mật đã phát hiện ra rằng các phương thức QuerySet.filter(), QuerySet.exclude() và QuerySet.get() cùng với lớp Q() đều dễ bị SQL injection.

Cơ chế khai thác SQL Injection

Lỗ hổng này xuất hiện khi các nhà phát triển sử dụng một dictionary được chế tạo đặc biệt với dictionary expansion làm đối số _connector. Điều này cho phép những kẻ tấn công chèn các lệnh SQL độc hại vào các truy vấn cơ sở dữ liệu. Từ đó, chúng có khả năng truy cập trái phép, sửa đổi hoặc xóa dữ liệu.

Mức độ nghiêm trọng của lỗ hổng này đến từ khả năng tiếp cận rộng rãi của nó. Các nhà phát triển sử dụng các hoạt động QuerySet hàng ngày có thể vô tình đưa vào các lỗ hổng SQL injection nếu họ xử lý đầu vào không đáng tin cậy từ người dùng mà không có sự xác thực phù hợp.

Một kẻ tấn công khai thác lỗ hổng này có thể bỏ qua các kiểm soát bảo mật của ứng dụng. Chúng cũng có thể thực thi các lệnh SQL tùy ý trực tiếp chống lại cơ sở dữ liệu cơ bản. Điều này biến lỗ hổng Django này thành một mối lo ngại cực kỳ nghiêm trọng đối với các môi trường sản xuất.

Để biết thêm thông tin chi tiết về CVE này, bạn có thể tham khảo tại NVD – CVE-2025-64459 (Lưu ý: Liên kết này là ví dụ, CVE có thể chưa được đăng tải chính thức).

Tấn công từ chối dịch vụ trên Windows (CVE-2025-64458)

CVE-2025-64458 giải quyết một lỗ hổng từ chối dịch vụ ảnh hưởng đến các hàm HttpResponseRedirect và HttpResponsePermanentRedirect trên nền tảng Windows. Vấn đề liên quan đến quá trình xử lý chuẩn hóa Unicode NFKC không hiệu quả trong Python. Lỗ hổng này trở nên nghiêm trọng khi xử lý các đầu vào chứa số lượng lớn ký tự Unicode.

Tác động của lỗ hổng DoS

Những kẻ tấn công có thể tạo ra các yêu cầu được chế tạo đặc biệt với dữ liệu Unicode quá mức. Điều này khiến quá trình chuẩn hóa tiêu thụ tài nguyên hệ thống đáng kể. Kết quả là ứng dụng trở nên không phản hồi, dẫn đến tình trạng tấn công DoS thành công.

Mặc dù lỗ hổng này được phân loại là mức độ nghiêm trọng trung bình, các quản trị viên Windows vẫn nên cảnh giác. Việc khai thác thành công có thể làm gián đoạn tính sẵn sàng của dịch vụ. Cuộc tấn công không yêu cầu xác thực và có thể được thực thi từ xa, biến nó thành một vector tiềm năng cho các tác nhân độc hại nhắm mục tiêu vào các ứng dụng Django được triển khai trên Windows.

Các phiên bản bị ảnh hưởng và bản vá bảo mật

Các bản vá bảo mật đã được áp dụng trên tất cả các phiên bản Django bị ảnh hưởng, bao gồm nhánh chính đang phát triển và Django 6.0 beta. Các tổ chức đang chạy Django 4.2, 5.1 hoặc 5.2 phải cập nhật ngay lập tức lên các bản phát hành đã vá lỗi.

Các phiên bản bị ảnh hưởng chiếm một phần đáng kể trong các cài đặt Django đã triển khai. Điều này biến lỗ hổng Django thành một mối quan tâm bảo mật rộng rãi, ảnh hưởng đến toàn bộ hệ sinh thái Django. Việc cập nhật lên phiên bản mới nhất là cực kỳ quan trọng để bảo vệ hệ thống khỏi các nguy cơ xâm nhập và gián đoạn dịch vụ.

Để tải xuống các bản vá và xem chi tiết thông báo bảo mật chính thức, truy cập Django Security Releases.