2 декабря 2025 г. — CVE 2025-13372¶

Потенциальное внедрение SQL в псевдонимы столбцов FilteredRelation в PostgreSQL. Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

2 декабря 2025 г. — CVE 2025-64460¶

Потенциальная уязвимость типа «отказ в обслуживании» при извлечении текста сериализатором XML. Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

5 ноября 2025 г. — CVE 2025-64458¶

Потенциальная уязвимость типа «отказ в обслуживании» в HttpResponseRedirect и HttpResponsePermanentRedirect в Windows. Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

5 ноября 2025 г. — CVE 2025-64459¶

Потенциальная SQL-инъекция через аргумент ключевого слова _connector в объектах QuerySet и Q. Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

1 октября 2025 г. — CVE 2025-59681¶

Потенциальная SQL-инъекция в QuerySet.annotate(), alias(), aggregate() и extra() в MySQL и MariaDB. Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

1 октября 2025 г. — CVE 2025-59682¶

Потенциальный частичный обход каталога с помощью archive.extract(). Полное описание

• Django 6.0 (патч)

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

3 сентября 2025 г. — CVE 2025-57833¶

Потенциальное внедрение SQL в псевдонимы столбцов FilteredRelation. Полное описание

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

4 июня 2025 г. — CVE 2025-48432¶

Потенциальное внедрение журнала через неэкранированный путь запроса. Полное описание

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

10 июня 2025 г. произошло дополнительное усиление защиты с выпуском новых патчей. Полное описание

• Django 5.2.3 (патч)

• Django 5.1.11 (патч)

• Django 4.2.23 (патч)

7 мая 2025 г. — CVE 2025-32873¶

Возможность отказа в обслуживании в strip_tags(). Полное описание

• Django 5.2 (патч)

• Django 5.1 (патч)

• Django 4.2 (патч)

2 апреля 2025 г. — CVE 2025-27556¶

Потенциальная уязвимость отказа в обслуживании в LoginView, LogoutView и set_language() в Windows. Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

6 марта 2025 г. — CVE 2025-26699¶

Потенциальный отказ в обслуживании в django.utils.text.wrap(). Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

14 января 2025 г. — CVE 2024-56374¶

Потенциальная уязвимость типа «отказ в обслуживании» при проверке IPv6. Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

4 декабря 2024 г. — CVE 2024-53907¶

Потенциальный отказ в обслуживании в django.utils.html.strip_tags(). Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

4 декабря 2024 г. — CVE 2024-53908¶

Потенциальная SQL-инъекция в HasKey(lhs, rhs) в Oracle. Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

3 сентября 2024 г. — CVE 2024-45231¶

Перечисление потенциальных адресов электронной почты пользователей через статус ответа при сбросе пароля. Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

3 сентября 2024 г. — CVE 2024-45230¶

Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize(). Полное описание

• Django 5.1 (патч)

• Django 5.0 (патч)

• Django 4.2 (патч)

6 августа 2024 г. — CVE 2024-42005¶

Потенциальная SQL-инъекция в QuerySet.values() и values_list(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

6 августа 2024 г. — CVE 2024-41991¶

Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize() и AdminURLFieldWidget. Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

6 августа 2024 г. — CVE 2024-41990¶

Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

6 августа 2024 г. — CVE 2024-41989¶

Потенциальное исчерпание памяти в django.utils.numberformat.floatformat(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

9 июля 2024 г. — CVE 2024-39614¶

Потенциальный отказ в обслуживании в django.utils.translation.get_supported_language_variant(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

9 июля 2024 г. — CVE 2024-39330¶

Потенциальный обход каталогов в django.core.files.storage.Storage.save(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

9 июля 2024 г. — CVE 2024-39329¶

Перечисление имен пользователей через разницу во времени для пользователей с непригодными паролями. Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

9 июля 2024 г. — CVE 2024-38875¶

Потенциальный отказ в обслуживании в django.utils.html.urlize(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

4 марта 2024 г. — CVE 2024-27351¶

Потенциальный отказ в обслуживании регулярных выражений в django.utils.text.Truncator.words(). Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

• Django 3.2 (патч)

6 февраля 2024 г. — CVE 2024-24680¶

Потенциальный отказ в обслуживании в фильтре шаблонов intcomma. Полное описание

• Django 5.0 (патч)

• Django 4.2 (патч)

• Django 3.2 (патч)

1 ноября 2023 г. — CVE 2023-46695¶

Потенциальная уязвимость отказа в обслуживании в UsernameField в Windows. Полное описание

• Django 4.2 (патч)

• Django 4.1 (патч)

• Django 3.2 (патч)

4 октября 2023 г. — CVE 2023-43665¶

Возможность отказа в обслуживании в django.utils.text.Truncator. Полное описание

• Django 4.2 (патч)

• Django 4.1 (патч)

• Django 3.2 (патч)

4 сентября 2023 г. — CVE 2023-41164¶

Потенциальная уязвимость отказа в обслуживании в django.utils.encoding.uri_to_iri(). Полное описание

• Django 4.2 (патч)

• Django 4.1 (патч)

• Django 3.2 (патч)

3 июля 2023 г. — CVE 2023-36053¶

Потенциальная уязвимость отказа в обслуживании регулярных выражений в EmailValidator/URLValidator. Полное описание

• Django 4.2 (патч)

• Django 4.1 (патч)

• Django 3.2 (патч)

3 мая 2023 г. — CVE 2023-31047¶

Потенциальный обход проверки при загрузке нескольких файлов с использованием одного поля формы. Полное описание

• Django 4.2 (патч)

• Django 4.1 (патч)

• Django 3.2 (патч)

14 февраля 2023 г. — CVE 2023-24580¶

Потенциальная уязвимость типа «отказ в обслуживании» при загрузке файлов. Полное описание

• Django 4.1 (патч)

• Django 4.0 (патч)

• Django 3.2 (патч)

1 февраля 2023 г. — CVE 2023-23969¶

Потенциальный отказ в обслуживании через заголовки Accept-Language. Полное описание

• Django 4.1 (патч)

• Django 4.0 (патч)

• Django 3.2 (патч)

4 октября 2022 г. — CVE 2022-41323¶

Потенциальная уязвимость типа «отказ в обслуживании» в интернационализированных URL-адресах. Полное описание

• Django 4.1 (патч)

• Django 4.0 (патч)

• Django 3.2 (патч)

3 августа 2022 г. — CVE 2022-36359¶

Потенциальная уязвимость, отражающая загрузку файлов в FileResponse. Полное описание

• Django 4.0 (патч)

• Django 3.2 (патч)

4 июля 2022 г. — CVE 2022-34265¶

Потенциальная SQL-инъекция через аргументы Trunc(kind) и Extract(lookup_name). Полное описание

• Django 4.0 (патч)

• Django 3.2 (патч)

11 апреля 2022 г. — CVE 2022-28346¶

Потенциальная SQL-инъекция в QuerySet.annotate(), aggregate() и extra(). Полное описание

• Django 4.0 (патч)

• Django 3.2 (патч)

• Django 2.2 (патч)

11 апреля 2022 г. — CVE 2022-28347¶

Потенциальная SQL-инъекция через QuerySet.explain(**options) в PostgreSQL. Полное описание

• Django 4.0 (патч)

• Django 3.2 (патч)

• Django 2.2 (патч)

1 февраля 2022 г. — CVE 2022-22818¶

Возможен XSS через тег шаблона {% debug %}. Полное описание

1 февраля 2022 г. — CVE 2022-23833¶

Возможность отказа в обслуживании при загрузке файлов. Полное описание

4 января 2022 г. — CVE 2021-45452¶

Потенциальный обход каталога через Storage.save(). Полное описание

4 января 2022 г. — CVE 2021-45116¶

Возможное раскрытие информации в фильтре шаблонов dictsort. Полное описание

4 января 2022 г. — CVE 2021-45115¶

Возможность отказа в обслуживании в UserAttributeSimilarityValidator. Полное описание

7 декабря 2021 г. — CVE 2021-44420¶

Потенциальный обход восходящего контроля доступа на основе URL-путей. Полное описание

1 июля 2021 г. — CVE 2021-35042¶

Потенциальная SQL-инъекция через необработанный ввод QuerySet.order_by(). Полное описание

2 июня 2021 г. — CVE 2021-33203¶

Потенциальный обход каталога через admindocs. Полное описание

2 июня 2021 г. — CVE 2021-33571¶

Возможны неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимают ведущие нули в адресах IPv4. Полное описание

6 мая 2021 г. — CVE 2021-32052¶

Возможность внедрения заголовка, поскольку URLValidator принимает символы новой строки во входных данных на Python 3.9.5+. Полное описание

4 мая 2021 г. — CVE 2021-31542¶

Потенциальный обход каталогов через загруженные файлы. Полное описание

6 апреля 2021 г. — CVE 2021-28658¶

Потенциальный обход каталогов через загруженные файлы. Полное описание

19 февраля 2021 г. — CVE 2021-23336¶

Отравление веб-кэша через django.utils.http.limited_parse_qsl(). Полное описание

1 февраля 2021 г. — CVE 2021-3281¶

Потенциальный обход каталога через archive.extract(). Полное описание

1 сентября 2020 г. - CVE 2020-24584¶

Повышение разрешений в каталогах промежуточного уровня кэша файловой системы на Python 3.7+. Полное описание

1 сентября 2020 г. - CVE 2020-24583¶

Неправильные разрешения для каталогов промежуточного уровня в Python 3.7+. Полное описание

3 июня 2020 г. - CVE 2020-13596¶

Возможен XSS через администратора «ForeignKeyRawIdWidget». Полное описание

3 июня 2020 г. - CVE 2020-13254¶

Возможна утечка данных из-за неправильно сформированных ключей memcached. Полное описание

4 марта 2020 г. - CVE 2020-9402¶

Потенциальное внедрение SQL через параметр «tolerance» в функции ГИС и агрегаты в Oracle. Полное описание

3 февраля 2020 г. - CVE 2020-7471¶

Потенциальная SQL-инъекция через StringAgg(delimiter). Полное описание

18 декабря 2019 г. - CVE 2019-19844¶

Потенциальный взлом учетной записи через форму сброса пароля. Полное описание

2 декабря 2019 г. - CVE 2019-19118¶

Повышение привилегий в администраторе Django. Полное описание

1 августа 2019 г. - CVE 2019-14235¶

Потенциальное исчерпание памяти в django.utils.encoding.uri_to_iri(). Полное описание

1 августа 2019 г. - CVE 2019-14234¶

Возможность внедрения SQL при поиске ключей и индексов для JSONField/HStoreField. Полное описание

1 августа 2019 г. - CVE 2019-14233¶

Возможность отказа в обслуживании в strip_tags(). Полное описание

1 августа 2019 г. - CVE 2019-14232¶

Возможность отказа в обслуживании в django.utils.text.Truncator. Полное описание

1 июля 2019 г. - CVE 2019-12781¶

Неверное обнаружение HTTP при подключении обратного прокси-сервера через HTTPS. Полное описание

3 июня 2019 г. - CVE 2019-12308¶

XSS через ссылку «Текущий URL», созданную AdminURLFieldWidget. Полное описание

3 июня 2019 г. - CVE 2019-11358¶

Загрязнение прототипов в комплекте jQuery. Полное описание

11 февраля 2019 г. - CVE 2019-6975¶

Нехватка памяти в django.utils.numberformat.format(). Полное описание

4 января 2019 г. - CVE 2019-3498¶

Возможность подделки контента на странице 404 по умолчанию. Полное описание

1 октября 2018 г. - CVE 2018-16984¶

Раскрытие хэша пароля пользователям с правами администратора «только для просмотра». Полное описание

1 августа 2018 г. - CVE 2018-14574¶

Открыть возможность перенаправления в CommonMiddleware. Полное описание

6 марта 2018 г. - CVE 2018-7537¶

Возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html и truncatewords_html. Полное описание

6 марта 2018 г. - CVE 2018-7536¶

Возможность отказа в обслуживании в фильтрах шаблонов urlize и urlizetrnc. Полное описание

1 февраля 2018 г. - CVE 2018-6188¶

Утечка информации в AuthenticationForm. Полное описание

5 сентября 2017 г. — CVE 2017-12794¶

Возможный XSS в разделе трассировки на странице отладки технических 500. Полное описание

4 апреля 2017 г. — CVE 2017-7234¶

Открытая уязвимость перенаправления в django.views.static.serve(). Полное описание

4 апреля 2017 г. - CVE 2017-7233¶

Открытое перенаправление и возможная атака XSS через предоставленные пользователем числовые URL-адреса перенаправления. Полное описание

1 ноября 2016 г. — CVE 2016-9014¶

Уязвимость перепривязки DNS при DEBUG=True. Полное описание

1 ноября 2016 г. — CVE 2016-9013¶

Пользователь с жестко заданным паролем, созданным при выполнении тестов в Oracle. Полное описание

26 сентября 2016 г. - CVE 2016-7401¶

Обход защиты CSRF на сайте с помощью Google Analytics. Полное описание

18 июля 2016 г. — CVE 2016-6186¶

XSS во всплывающем окне администратора, связанном с добавлением/изменением. Полное описание

1 марта 2016 г. - CVE 2016-2513¶

Перечисление пользователей через разницу во времени при обновлении коэффициента работы хэшера паролей. Полное описание

1 марта 2016 г. - CVE 2016-2512¶

Вредоносное перенаправление и возможная атака XSS через предоставленные пользователем URL-адреса перенаправления, содержащие базовую аутентификацию. Полное описание

1 февраля 2016 г. - CVE 2016-2048¶

Пользователь с разрешением «изменить», но не «добавлять», может создавать объекты для ModelAdmin с помощью save_as=True. Полное описание

24 ноября 2015 г. - CVE 2015-8213¶

Возможность утечки настроек в фильтре шаблона date. Полное описание

18 августа 2015 г. — CVE 2015-5963 / CVE 2015-5964¶

Возможность отказа в обслуживании в представлении logout() путем заполнения хранилища сеансов. Полное описание

8 июля 2015 г. - CVE 2015-5145¶

Возможность отказа в обслуживании при проверке URL. Полное описание

8 июля 2015 г. - CVE 2015-5144¶

Возможность внедрения заголовка, поскольку валидаторы принимают символы новой строки во входных данных. Полное описание

8 июля 2015 г. - CVE 2015-5143¶

Возможность отказа в обслуживании путем заполнения хранилища сеансов. Полное описание

20 мая 2015 г. - CVE 2015-3982¶

Исправлена ​​очистка сеанса в бэкэнде cached_db. Полное описание

18 марта 2015 г. - CVE 2015-2317¶

Устранена возможная XSS-атака через URL-адреса перенаправления, предоставленные пользователем. Полное описание

18 марта 2015 г. - CVE 2015-2316¶

Возможность отказа в обслуживании с помощью strip_tags(). Полное описание

9 марта 2015 г. - CVE 2015-2241¶

XSS-атака через свойства в ModelAdmin.readonly_fields. Полное описание

13 января 2015 г. - CVE 2015-0222¶

Отказ в обслуживании базы данных с помощью ModelMultipleChoiceField. Полное описание

13 января 2015 г. - CVE 2015-0221¶

Атака типа «отказ в обслуживании» на django.views.static.serve(). Полное описание

13 января 2015 г. - CVE 2015-0220¶

Устранена возможная XSS-атака через URL-адреса перенаправления, предоставленные пользователем. Полное описание

13 января 2015 г. - CVE 2015-0219¶

Подмена заголовка WSGI с помощью объединения подчеркивания/тире. Полное описание

20 августа 2014 г. - CVE 2014-0483¶

Утечка данных из-за манипуляций со строкой запроса в администраторе. Полное описание

20 августа 2014 г. - CVE 2014-0482¶

Перехват сеанса RemoteUserMiddleware. Полное описание

20 августа 2014 г. - CVE 2014-0481¶

Отказ в обслуживании при загрузке файла. Полное описание

20 августа 2014 г. - CVE 2014-0480¶

reverse() может генерировать URL-адреса, указывающие на другие хосты. Полное описание

18 мая 2014 г. - CVE 2014-3730¶

Неверно сформированные URL-адреса, введенные пользователем, некорректно проверены. Полное описание

18 мая 2014 г. - CVE 2014-1418¶

Кешам может быть разрешено хранить и обслуживать личные данные. Полное описание

21 апреля 2014 г. — CVE 2014-0474¶

Приведение типов MySQL приводит к неожиданным результатам запроса. Полное описание

21 апреля 2014 г. — CVE 2014-0473¶

Кэширование анонимных страниц может раскрыть токен CSRF. Полное описание

21 апреля 2014 г. — CVE 2014-0472¶

Неожиданное выполнение кода с использованием функции reverse(). Полное описание

14 сентября 2013 г. - CVE 2013-1443¶

Отказ в обслуживании через большие пароли. Полное описание

10 сентября 2013 г. — CVE 2013-4315¶

Обход каталога через тег шаблона ssi. Полное описание

13 августа 2013 г. - CVE 2013-6044¶

Возможный XSS через непроверенные схемы перенаправления URL-адресов. Полное описание

13 августа 2013 г. — CVE 2013-4249¶

XSS через администратора, доверяющего значениям URLField. Полное описание

19 февраля 2013 г. - CVE 2013-0306¶

Отказ в обслуживании через обход набора форм max_num. Полное описание

19 февраля 2013 г. - CVE 2013-0305¶

Утечка информации через журнал истории администратора. Полное описание

19 февраля 2013 г. — CVE 2013-1664 / CVE 2013-1665¶

Атаки на основе сущностей против XML-библиотек Python. Полное описание

19 февраля 2013 г. – нет CVE¶

Дополнительное усиление обработки заголовка Host. Полное описание

10 декабря 2012 г. — CVE 2 отсутствует.¶

Дополнительное усиление проверки перенаправления. Полное описание

10 декабря 2012 г. — CVE 1 отсутствует.¶

Дополнительное усиление обработки заголовка Host. Полное описание

17 октября 2012 г. — CVE 2012-4520¶

Отравление заголовка Host. Полное описание

30 июля 2012 г. — CVE 2012-3444¶

Отказ в обслуживании через большие файлы изображений. Полное описание

30 июля 2012 г. — CVE 2012-3443¶

Отказ в обслуживании через сжатые файлы изображений. Полное описание

30 июля 2012 г. — CVE 2012-3442¶

XSS из-за невозможности проверить схему перенаправления. Полное описание

9 сентября 2011 г. — CVE 2011-4140¶

Потенциальный CSRF через заголовок Host. Полное описание

9 сентября 2011 г. — CVE 2011-4139¶

Отравление кэша заголовков Host. Полное описание

9 сентября 2011 г. — CVE 2011-4138¶

Утечка информации/выдача произвольных запросов через URLField.verify_exists. Полное описание

9 сентября 2011 г. — CVE 2011-4137¶

Отказ в обслуживании через URLField.verify_exists. Полное описание

9 сентября 2011 г. — CVE 2011-4136¶

Манипулирование сеансом при использовании сеанса, поддерживаемого кэшем памяти. Полное описание

8 февраля 2011 г. — CVE 2011-0698¶

Обход каталога в Windows из-за неправильной обработки разделителя путей. Полное описание

8 февраля 2011 г. — CVE 2011-0697¶

XSS через несанкционированные имена загруженных файлов. Полное описание

8 февраля 2011 г. — CVE 2011-0696¶

CSRF через поддельные заголовки HTTP. Полное описание

22 декабря 2010 г. - CVE 2010-4535¶

Отказ в обслуживании в механизме сброса пароля. Полное описание

22 декабря 2010 г. — CVE 2010-4534¶

Утечка информации в административном интерфейсе. Полное описание

8 сентября 2010 г. — CVE 2010-3082¶

XSS через доверие к небезопасному значению cookie. Полное описание

9 октября 2009 г. — CVE 2009-3695¶

Отказ в обслуживании из-за патологической производительности регулярных выражений. Полное описание

28 июля 2009 г. — CVE 2009-2659¶

Обход каталогов в обработчике мультимедиа сервера разработки. Полное описание

2 сентября 2008 г. — CVE 2008-3909¶

CSRF посредством сохранения данных POST при входе в систему администратора. Полное описание

14 мая 2008 г. - CVE 2008-2302¶

XSS через перенаправление входа администратора. Полное описание

26 октября 2007 г. — CVE 2007-5712¶

Отказ в обслуживании через заголовок Accept-Language произвольного размера. Полное описание

21 января 2007 г. — CVE 2007-0405¶

Видимое «кэширование» аутентифицированного пользователя. Полное описание

16 августа 2006 г. — CVE 2007-0404¶

Проблема с проверкой имени файла в системе перевода. Полное описание