Das Django-Team hat Updates zur Behebung einer kritischen Sicherheitslücke veröffentlicht. Die neuen Versionen umfassen Django 5.2.6, 5.1.12 und 4.2.24. Diese Versionen sind speziell dazu bestimmt, eine potenzielle SQL-Injection-Schwachstelle zu beheben. Die Schwachstelle, identifiziert als CVE-2025-57833, betrifft die FilteredRelation-Funktion. Insbesondere ermöglicht sie SQL-Injection über Spaltenaliase bei Verwendung von Dictionary-Expansion mit QuerySet.annotate() oder QuerySet.alias(). Eyal Gabay von EyalSec hat dieses hochkritische Problem gemeldet. Patches wurden auf die Haupt-, 5.2-, 5.1- und 4.2-Zweige von Django angewendet. Nutzern wird dringend empfohlen, so bald wie möglich auf diese neuesten Versionen zu aktualisieren. Die mit diesen Veröffentlichungen assoziierte PGP-Schlüssel-ID ist 3955B19851EA96EF. Das Django-Team erinnert die Nutzer daran, potenzielle Sicherheitsprobleme vertraulich per E-Mail an [email protected] zu melden.