Djangoチームは、重要なセキュリティ脆弱性に対処するためのアップデートをリリースしました。新しいバージョンには、Django 5.2.6、5.1.12、および4.2.24が含まれています。これらのリリースは、潜在的なSQLインジェクションの欠陥を修正するために特別に設計されています。CVE-2025-57833として特定されたこの脆弱性は、FilteredRelation機能に影響を与えます。具体的には、QuerySet.annotate()またはQuerySet.alias()で辞書展開を使用する際に、カラムエイリアスを介してSQLインジェクションを可能にします。EyalSecのEyal Gabay氏が、この深刻度の高い問題を報告しました。パッチは、Djangoのmain、5.2、5.1、および4.2ブランチに適用されています。ユーザーは、できるだけ早くこれらの最新バージョンにアップグレードすることを強く推奨します。これらのリリースに関連付けられているPGPキーIDは3955B19851EA96EFです。Djangoチームは、潜在的なセキュリティ問題を[email protected]にメールで非公開に報告するようユーザーに呼びかけています。