CVE-2026-1312
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 - wyżej niż 52% wszystkich znanych CVE
Streszczenie
W Django wykryto podatność na iniekcję SQL w metodzie `.QuerySet.order_by()`. Problem występuje, gdy alias kolumny zawiera kropkę i jest używany z `FilteredRelation` przy rozwijaniu słownika. Luka dotyczy wersji 6.0 przed 6.0.2, 5.2 przed 5.2.11 oraz 4.2 przed 4.2.28; starsze, niewspierane serie również mogą być podatne.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań SQL, co może prowadzić do wycieku, modyfikacji lub usunięcia danych w bazie danych organizacji.
Rekomendacja
Niezwłocznie zaktualizuj Django do wersji 6.0.2, 5.2.11 lub 4.2.28 w zależności od używanej serii. Jeśli używasz starszej, niewspieranej wersji, rozważ migrację do wspieranej wersji.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. `.QuerySet.order_by()` is subject to SQL injection in column aliases containing periods when the same alias is, using a suitably crafted dictionary, with dictionary expansion, used in `FilteredRelation`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Solomon Kebede for reporting this issue.

