Nhóm phát triển Django vừa phát hành các bản vá bảo mật khẩn cấp (5.2.8, 5.1.14, 4.2.26) để giải quyết hai lỗ hổng nghiêm trọng. Các lỗ hổng này bao gồm SQL Injection trong QuerySet và DDoS ảnh hưởng đến các máy chủ Windows.

Theo thông báo bảo mật ngày 5 tháng 11 năm 2025, các phiên bản Django 4.2, 5.1, và 5.2 (cũng như 6.0 beta) đều bị ảnh hưởng. Các nhà phát triển được khuyến nghị cập nhật lên các phiên bản đã vá ngay lập tức.

Lỗ hổng nghiêm trọng hơn, CVE-2025-64459, được đánh giá 9.8 (Critical). Đây là một lỗ hổng SQL Injection ảnh hưởng trực tiếp đến các phương thức QuerySet.filter(), QuerySet.exclude(), QuerySet.get() và cả class Q(). Lỗ hổng xảy ra khi các phương thức này nhận một dictionary được tạo đặc biệt với tính năng “dictionary expansion” làm tham số _connector. Một hacker có thể khai thác điều này để tiêm các lệnh SQL Injection vào truy vấn, dẫn đến nguy cơ truy cập hoặc sửa đổi dữ liệu trái phép.

Lỗ hổng thứ hai, CVE-2025-64458, là một lỗi Denial-of-Service (DoS) ở mức độ trung bình (5.3 CVSS), chỉ ảnh hưởng đến các máy chủ chạy trên nền tảng Windows. Sự cố này nằm ở cách các hàm HttpResponseRedirect và HttpResponsePermanentRedirect xử lý việc chuẩn hóa Unicode không hiệu quả. Một hacker có thể gửi các yêu cầu chứa số lượng lớn ký tự Unicode, gây cạn kiệt tài nguyên hệ thống và làm ứng dụng ngừng phản hồi.

Các bản vá đã được áp dụng cho tất cả các nhánh bị ảnh hưởng, bao gồm cả nhánh main đang phát triển. Các tổ chức sử dụng Django được khuyến cáo ưu tiên cập nhật ngay lập tức.