Vulnérabilité SQL Injection via alias dans Django (CVE-2025-57833)

Avant Django 4.2.23, il existait une faille critique permettant à un utilisateur malveillant d’injecter du SQL via des alias dynamiques dans les requêtes ORM.

Comment ça fonctionne ?

Les alias servent à nommer des colonnes calculées, par exemple avec annotate() :

from django.db.models import Count
books = Book.objects.annotate(book_count=Count('id'))

Si l’alias est fourni par l’utilisateur et évalué directement avec eval(), un attaquant peut exécuter du SQL destructeur, comme supprimer des tables.

Correctif

Django 4.2.23 empêche désormais les alias contenant des caractères dangereux (espaces, guillemets, point-virgule, commentaires SQL) et recommande de ne jamais utiliser eval() sur des données utilisateur.

Bonnes pratiques

• Valider les alias pour n’accepter que des caractères sûrs

• Limiter les annotations aux fonctions ORM autorisées

• Maintenir Django à jour

Conclusion

La faille CVE-2025-57833 montre l’importance de valider les données utilisateurs dans l’ORM. Les versions récentes de Django corrigent cette vulnérabilité, mais la vigilance reste indispensable.

Pour plus de travaux et ressources techniques, retrouvez mon profil GitHub : https://github.com/loic-houchi/