Django – IoT OT Security News

Django の脆弱性 CVE-2025-13372／64460 が FIX：SQLi／DoS 攻撃の恐れ

Multiple Django Vulnerability Expose Applications to SQL Injection and DoS Attacks

2025/12/03 gbhackers — Django 開発チームがリリースしたのは、人気 Python Web フレームワークにおける３つのメジャー・バージョン向けの重大なセキュリティ・パッチである。このパッチで修正された、２件の脆弱性 CVE-2025-13372／CVE-2025-64460 は、アプリケーションを SQL インジェクション攻撃およびサービス拒否 (DoS) 攻撃にさらす可能性のあるものだ。

Django の脆弱性CVE-2025-64458／64459 が FIX：SQL インジェクション／DoS 攻撃の可能性

Multiple Django Flaws Could Allow SQL Injection and Denial-of-Service Attacks

2025/11/06 gbhackers — Django 開発チームが公開したのは、アプリケーションに影響を及ぼすサービス拒否 (DoS)／SQL インジェクション攻撃などの２件の重大な脆弱性 CVE-2025-64458／CVE-2025-64459 に関する情報である。すでに Django は、2025年11月5日の時点でのセキュリティ・パッチをリリースし、影響を受けるバージョン 5.2.8／5.1.14／4.2.26 に対処している。

Django の脆弱性 CVE-2025-57833 が FIX：SQL インジェクションの可能性

Django Web Vulnerability Allows Attackers to Execute SQL Injection

2025/09/04 gbhackers — Django 開発チームが公表したのは、FilteredRelation 機能に存在する、深刻度の高い SQL インジェクションの脆弱性に対するセキュリティ・アップデートのリリースである。この脆弱性 CVE-2025-57833 を悪用する攻撃者は、想定外のクエリ・パラメータを作成し、有害なデータベース・コマンドを実行する可能性を手にする。Django 5.2／5.1／4.2 を利用するユーザーにとって必要なことは、速やかにアップデートを行い、アプリケーションを保護することだ。

Django Web アプリケーションの脆弱性 CVE-N/A：リモート・コード実行に No Patch／Yes PoC

Django App Vulnerabilities Chained to Execute Arbitrary Code Remotely

2025/07/01 CyberSecurityNews — Django Web アプリケーションに影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性が発見された。この脆弱性を悪用する攻撃者は、無害に見える CSV ファイルのアップロード機能を介して、サーバの完全な乗っ取りを可能にする。2025年6月30日に公開された、この脆弱性を悪用する攻撃者は、ディレクトリ・トラバーサルと pandas の CSV パーサー悪用を連鎖させることで、Django の wsgi.py ファイルを上書きし、任意のコード実行の可能性を得るという。CSV コメント内に埋め込まれた悪意の Python コードは、pandas の処理を回避して残存し、Django が “wsgi.py” を再読み込みする際に自動的に実行される。

Django の脆弱性 CVE-2024-53907／53908 が FIX：DoS／SQLi の可能性

Django Releases Patches for CVE-2024-53907 and CVE-2024-53908 to Mitigate DoS and SQLi Threats

2024/12/05 SecurityOnline — Django に存在するセキュリティ脆弱性 CVE-2024-53907／CVE-2024-53908 が、バージョン 5.1.4／5.0.10／4.2.17 のリリースにより修正された。ユーザーに対して推奨されるのは、最新のセキュリティ・アップデートを、可能な限り早急にインストールすることだ。

CyberPanel のゼロクリック RCE 脆弱性：未パッチだが PoC エクスプロイトが公開

22,000 CyberPanel Servers Exposed: Zero-Click RCE Vulnerability Discovered, PoC Published

2024/10/29 SecurityOnline — オープンソースの Web ホスティング・コントロールパネルである CyberPanel に存在する深刻な脆弱性が、セキュリティ研究者の DreyAnd により発見された。この脆弱性は、事前に認証されたルート権限で、ゼロクリックによるリモート・コード実行 (RCE) を許すものだが、現時点での最新バージョンである CyberPanel 2.3.6 では修正されていない。そのため、潜在的に数千ものインスタンスが、深刻なセキュリティの脅威に直面する可能性を持つ。

Django の脆弱性 CVE-2024-42005 (CVSS 9.8) などが FIX：直ちにアップデートを！

Django Releases Security Updates to Address Critical Flaw (CVE-2024-42005, CVSS 9.8)

2024/08/09 SecurityOnline — Django 5.0.8／4.2.15 としてセキュリティ・アップデートが発行され、サービス拒否 (DoS) 攻撃や SQL インジェクションなどの、複数の脆弱性が対処された。すべてのユーザーに対して Django チームが強く求めているのは、パッチを適用したバージョンへと、可能な限り早急にアップグレードすることだ。Django は、高水準の Python フレームワークであり、迅速な開発とクリーンで実用的な設計を奨励するものだ。そのため、安全でスケーラブルな Web アプリケーションの構築に広く利用されている。

PyPI パッケージ・メンテナを攻撃：巧妙なフィッシングでプロジェクトを乗っ取る

PyPI packages hijacked after developers fall for phishing emails

2022/08/25 BleepingComputer — 昨日に検出されたフィッシング・キャンペーンは、PyPI レジストリで公開される Python パッケージの、メンテナをターゲットにするものだったようだ。Python パッケージである exotel と spam は、マルウェアが混入された数百のパッケージの中の１つであり、フィッシング・メールで騙したメンテナのアカウントへ、攻撃者たちが侵入に成功した結果である。