Katalog CVE

CVE-2026-1207

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
9.44%

Percentyl 95 - wyżej niż 95% wszystkich znanych CVE

Streszczenie

W Django 6.0 przed 6.0.2, 5.2 przed 5.2.11 oraz 4.2 przed 4.2.28 odkryto podatność na iniekcję SQL w operacjach rasterowych na polu RasterField (dostępnym tylko z PostGIS). Atakujący zdalnie może wstrzyknąć kod SQL poprzez parametr indeksu pasma (band index).

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do bazy danych, wyciek lub modyfikację danych, a także potencjalne przejęcie kontroli nad systemem bazodanowym.

Rekomendacja

Należy niezwłocznie zaktualizować Django do wersji 6.0.2, 5.2.11 lub 4.2.28 w zależności od używanej serii. Jeśli to niemożliwe, tymczasowo wyłączyć funkcjonalność RasterField lub ograniczyć dostęp do niej.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. Raster lookups on ``RasterField`` (only implemented on PostGIS) allows remote attackers to inject SQL via the band index parameter. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Tarek Nakkouch for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS