Django-Framework: Schwachstellen ermöglichen DoS und SQL-Injection

Der CERT-Bund hat in der Sicherheitsmitteilung WID-SEC-2025-2495 mehrere kritische Schwachstellen im Django-Webframework veröffentlicht, die von einem entfernten, anonymen Angreifer ausgenutzt werden können. Die Lücken ermöglichen sowohl einen Denial-of-Service-Angriff als auch die Durchführung einer SQL-Injection.

Denial-of-Service-Schwachstelle

Die erste Schwachstelle betrifft die Verarbeitung von HTTP-Anfragen, wobei speziell formatierte Parameter zu einer übermäßigen Ressourcenauslastung führen. Ein Angreifer kann dadurch die Verfügbarkeit von Django-basierten Anwendungen stark einschränken. Der Vorgang erfordert keinen authentifizierten Zugriff.

SQL-Injection-Schwachstelle

Die zweite Schwachstelle betrifft die Datenbankabstraktionsschicht, wobei fehlerhafte Eingabevalidierung es ermöglicht, manipulierte SQL-Befehle in Datenbankabfragen einzuschleusen. Dadurch kann ein Angreifer Daten auslesen, verändern oder löschen, ohne über reguläre Zugriffsrechte zu verfügen.

Betroffene Versionen werden im Detailbericht des CERT-Bund aufgelistet. Entwickler sollten prüfen, ob ihre installierten Django-Pakete zu den genannten Versionen gehören.

Als Gegenmaßnahme empfiehlt der CERT-Bund, sofort die von den Django-Entwicklern bereitgestellten Sicherheitspatches zu installieren. Zusätzlich sollten Administratoren die Konfiguration der Eingabevalidierung überprüfen und restriktive Firewall-Regeln für verdächtige Anfragen einsetzen.

Nutzer von Django-basierten Anwendungen sollten ihre Anbieter über das Vorhandensein der Schwachstellen informieren und nach Updates fragen. Durch zeitnahe Implementierung der Patches kann das Risiko eines erfolgreichen Angriffs deutlich reduziert werden.

Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).