Команда Django выпустила обновления для устранения критической уязвимости безопасности. Новые версии включают Django 5.2.6, 5.1.12 и 4.2.24. Эти релизы специально разработаны для исправления потенциальной ошибки SQL-инъекции. Уязвимость, идентифицированная как CVE-2025-57833, затрагивает функцию FilteredRelation. В частности, она позволяет выполнять SQL-инъекции через псевдонимы столбцов при использовании словарного расширения с QuerySet.annotate() или QuerySet.alias(). Эяль Габай из EyalSec сообщил об этой проблеме высокой степени серьезности. Патчи были применены к основным веткам Django: main, 5.2, 5.1 и 4.2. Пользователям настоятельно рекомендуется как можно скорее обновиться до этих последних версий. Идентификатор PGP-ключа, связанный с этими релизами, — 3955B19851EA96EF. Команда Django напоминает пользователям о необходимости сообщать о потенциальных проблемах безопасности конфиденциально по электронной почте на адрес [email protected].