کشف آسیب‌پذیری بحرانی در Django

تاریخ ایجاد 1403/11/17

Django-Unicorn که برای اضافه کردن قابلیت‌های واکنش‌گرا (Reactive) به قالب‌های Django استفاده می‌شود، دارای یک آسیب‌پذیری جدی با شناسه‌ی CVE-2025-24370 و امتیاز 9.3 (بحرانی) است. در نسخه‌های آسیب‌پذیر این ابزار، یک مشکل امنیتی به نام آلودگی کلاس‌های پایتون (Python Class Pollution) در تابع اصلی set_property_value وجود دارد. مهاجمان می‌توانند از راه دور با ارسال درخواست‌های خاص، مقادیر دلخواهی را به پارامترهای دوم و سوم این تابع وارد کنند. این اقدام منجر به تغییرات غیرمجاز در وضعیت اجرای برنامه‌ی پایتون می‌شود.

بررسی‌ها نشان داده که این آسیب‌پذیری می‌تواند منجر به حملات XSS ،DoS و Authentication Bypass شود. تقریباً تمام برنامه‌هایی که بر اساس Django-Unicorn ساخته شده‌اند، در معرض این خطر هستند.

این مشکل در نسخه‌ی 0.62.0 برطرف شده است. بنابراین، همه‌ی کاربران باید هرچه سریع‌تر نسخه‌ی خود را به‌روزرسانی کنند. در حال حاضر، بجز به‌روزرسانی، راه‌حل جایگزینی برای این آسیب‌پذیری وجود ندارد.

محصولات آسیب‌پذیر

نسخه‌های آسیب‌پذیر عبارتند از:

• تمام نسخه‌های Django-Unicorn شامل 0.61.0 و قبل از آن

توصیه‌های امنیتی

به کاربران توصیه می‌شود که این پلتفرم را هر چه سریع‌تر به آخرین نسخه به‌روزرسانی کنند.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2025-24370