[KRCERT]Django 제품 보안 업데이트 권고

내용 요약

Django 4.2.x, 5.1.x, 5.2.x에서 SQL Injection 취약점(CVE‑2025‑57833)을 해결한 보안 업데이트가 발표되었습니다.
해당 버전을 사용 중인 프로젝트는 최신 보안 버전(4.2.24, 5.1.12, 5.2.6)으로 즉시 업그레이드하도록 권고합니다.

핵심 포인트

• SQL Injection: 입력값이 그대로 SQL에 삽입되어 비인가 데이터 접근 가능
• CVE‑2025‑57833: Django 내부에서 사용자 입력을 정제하지 않아 발생한 취약점
• 즉각 업그레이드: 4.2.x 이하 → 4.2.24, 5.1.x 이하 → 5.1.12, 5.2.x 이하 → 5.2.6 로 패치

기술 세부 내용

1️⃣ SQL Injection 취약점 (CVE‑2025‑57833)

• 원인
  Django ORM 내부에서 RawSQL 혹은 extra() 메서드를 사용한 쿼리에서 사용자 입력이 바인드 파라미터 없이 직접 문자열에 삽입되는 경우가 발생했습니다.
• 공격 시나리오
  

  cursor.execute(f"SELECT * FROM users WHERE id = {user_input}")
  

  user_input에 1 OR 1=1; DROP TABLE users; 를 넣으면 전체 테이블이 삭제됩니다.
• 영향
  • 인증 우회, 데이터 훼손, 서비스 거부(DoS) 가능
  • 내부 관리용 API, 관리자 대시보드 등에서 가장 위험
• 대응 방안
  1. 입력 검증 – IntegerField 등으로 타입 제한
  2. 파라미터 바인딩 – cursor.execute(query, params) 사용
  3. 최신 버전 적용 – 4.2.24, 5.1.12, 5.2.6 로 업그레이드

2️⃣ Django 보안 패치 적용 절차

1. 현재 버전 확인
   

   python -m django --version
   

2. 패치 버전 확인
   • 4.2.x → 4.2.24
   • 5.1.x → 5.1.12
   • 5.2.x → 5.2.6
3. 업그레이드
   

   pip install --upgrade Django==<패치버전>
   

4. 마이그레이션 및 테스트
   

   python manage.py makemigrations
   python manage.py migrate
   python manage.py test
   

5. 배포
   • CI/CD 파이프라인에 버전 확인 스크립트 추가
   • 운영 중인 서버에 재시작(무중단 가능)

주의: 기존 코드에 RawSQL 혹은 extra()를 사용한 부분이 있다면, values()나 annotate() 등 안전한 ORM API로 교체하거나 connection.cursor() 사용 시 파라미터 바인딩을 반드시 적용하세요.

참고: Django 공식 보안 릴리즈 페이지와 NVD에 상세 내용이 공개되어 있으니, 주기적으로 확인하시길 권장합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6579