BDU:2025-13913
Django Software Foundation, ООО «Ред Софт» Django, РЕД ОС
2025-11-05
Уязвимость объектов QuerySet и Q программной платформы для разработки веб-приложений Django связана с непринятием мер по защите структуры запроса SQL при обработке аргумента с ключевым словом _connector. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть и изменить защищаемую информацию
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика; - использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей; - использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости; - ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя: https://docs.djangoproject.com/en/dev/releases/security/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/