Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2025-11748

CVSS: 5.6

03.09.2025

Уязвимость функций annotate() и alias() программной платформы для веб-приложений Django, позволяющая нарушителю выполнить произвольный код

Уязвимость функций LoginView, LogoutView и set_language() программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	03.09.2025
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций производителя: Для Django: https://docs.djangoproject.com/en/dev/releases/security/ Для РедОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-django-cve-2025-48432-cve-2025-57833/?sphrase_id=1313766 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-57833 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-57833 Для Ubuntu: https://ubuntu.com/security/CVE-2025-57833 Для Fedora: https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/ https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOFM5OETCE3D/ https://bugzilla.redhat.com/show_bug.cgi?id=2393807 https://bugzilla.redhat.com/show_bug.cgi?id=2393805 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-57833.html

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-89	CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2025-57833	An issue was discovered in Django 4.2 before 4.2.24, 5.1 before 5.1.12, and 5.2 before 5.2.6. FilteredRelation is subject to...

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20251009-14	09.10.2025	Выполнение произвольного кода в Ansible Automation Platform 2.5 packages

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
5.6	MEDIUM	2.0	AV:N/AC:H/Au:S/C:C/I:P/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2025-57833

Вендор:	Novell Inc. Canonical Ltd. Сообщество свободного программного обеспечения ООО «Ред Софт» Fedora Project Django Software Foundation
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	openSUSE Tumbleweed Ubuntu Debian GNU/Linux РЕД ОС Fedora SUSE Linux Enterprise Module for Package Hub OpenSUSE Leap SUSE Package Hub Fedora EPEL Django
Версия ПО:	- (openSUSE Tumbleweed) 20.04 LTS (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 22.04 LTS (Ubuntu) 41 (Fedora) 15 SP6 (SUSE Linux Enterprise Module for Package Hub) 24.04 LTS (Ubuntu) 15.6 (OpenSUSE Leap) 15 SP6 (SUSE Package Hub) 42 (Fedora) 15 SP7 (SUSE Linux Enterprise Module for Package Hub) 25.04 (Ubuntu) 13 (Debian GNU/Linux) epel9 (Fedora EPEL) epel8 (Fedora EPEL) от 4.2 до 4.2.24 (Django) от 5.1 до 5.1.12 (Django) от 5.2 до 5.2.6 (Django)
ОС и аппаратные платформы:	openSUSE Tumbleweed (-) Ubuntu (20.04 LTS) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) Ubuntu (22.04 LTS) Fedora (41) Ubuntu (24.04 LTS) OpenSUSE Leap (15.6) Fedora (42) Ubuntu (25.04) Debian GNU/Linux (13)
Ссылки на источники:	https://docs.djangoproject.com/en/dev/releases/security/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-django-cve-2025-48432-cve-2025-5... https://security-tracker.debian.org/tracker/CVE-2025-57833 https://access.redhat.com/security/cve/cve-2025-57833 https://ubuntu.com/security/CVE-2025-57833 https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOF... https://lists.fedoraproject.org/archives/list/epel-packagers-sig@lists.fedoraproject.org/message/UARZKCRW3OX4CE5FH2CGAOF... https://bugzilla.redhat.com/show_bug.cgi?id=2393807 https://bugzilla.redhat.com/show_bug.cgi?id=2393805 https://www.suse.com/security/cve/CVE-2025-57833.html

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2025-11748