关键信息 漏洞编号: CVE-2025-57833 漏洞类型: Django Unauthenticated, 0 click, RCE, and SQL Injection using default configuration. 影响: - RCE on Windows/Linux - SQL Injection on all the database. 易受攻击的代码: 漏洞检测: - 在 函数中,如果 未设置,则会抛出异常。 - 攻击者可以控制 和 参数来利用此漏洞。 利用方法: - 参数是从 SQL 查询中获取的第一个值。 - 如果 对象和查询集是空的,函数将正常工作。 获得 RCE: - 使用 和 进行关联调用。 概念验证 (PoC): - 提供了 PoC 代码示例。 相关 CVE: - https://nvd.nist.gov/vuln/detail/CVE-2025-57833