Đội ngũ phát triển Django vừa phát hành các bản vá bảo mật quan trọng cho nhiều phiên bản chính, nhằm khắc phục hai lỗ hổng nghiêm trọng có thể khiến các ứng dụng web Python đối mặt với tấn công SQL Injection và DDoS. Các bản cập nhật được ban hành vào ngày 2 tháng 12 năm 2025, áp dụng cho các phiên bản 5.2.9, 5.1.15, 4.2.27 và cả ứng cử viên phát hành Django 6.0 sắp tới.

Mối đe dọa nghiêm trọng nhất là lỗ hổng SQL Injection được theo dõi là CVE-2025-13372. Lỗ hổng này nằm trong tính năng FilteredRelation khi được sử dụng cùng cơ sở dữ liệu PostgreSQL. Theo nhà nghiên cứu Stackered, kẻ tấn công có thể tiêm mã SQL tùy ý vào các truy vấn bằng cách truyền các dictionary được chế tạo đặc biệt làm đối số từ khóa cho các phương thức QuerySet.annotate() hoặc QuerySet.alias(). Khai thác thành công lỗ hổng này có thể dẫn đến việc truy cập, sửa đổi, hoặc xóa dữ liệu trái phép trong ứng dụng Django.

Lỗ hổng thứ hai là CVE-2025-64460 (mức độ Moderate), là một nguy cơ DDoS trong chức năng XML serialization của Django. Nhà nghiên cứu Seokchan Yoon đã chỉ ra rằng lỗ hổng này xuất phát từ lỗi phức tạp thuật toán trong hàm getInnerText() của XML Deserializer. Lỗi này liên quan đến hoạt động nối chuỗi lặp đi lặp lại (repeated string concatenation) trong quá trình thu thập các nút văn bản đệ quy, khiến việc xử lý đầu vào XML được chế tạo đặc biệt gây tiêu thụ CPU và bộ nhớ quá mức, làm suy giảm hiệu suất dịch vụ hoặc gây ra tình trạng ngừng hoạt động hoàn toàn.

Các lỗ hổng này ảnh hưởng đến tất cả các phiên bản Django đang được hỗ trợ, bao gồm cả series 4.2, 5.1 và 5.2. Đội ngũ bảo mật Django đã nhanh chóng cung cấp các bản vá và khuyến nghị tất cả người dùng cập nhật ngay lập tức lên các phiên bản mới nhất (5.2.9, 5.1.15, 4.2.27) để bảo vệ các ứng dụng Python của mình khỏi các cuộc tấn công tiềm tàng. Việc ưu tiên vá lỗi là điều bắt buộc để duy trì tính toàn vẹn và khả năng truy cập của các ứng dụng đang chạy trên Django.