Katalog CVE

CVE-2026-1312

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.80%

Percentyl 52 - wyżej niż 52% wszystkich znanych CVE

Streszczenie

W Django wykryto podatność na iniekcję SQL w metodzie `.QuerySet.order_by()`. Problem występuje, gdy alias kolumny zawiera kropkę i jest używany z `FilteredRelation` przy rozwijaniu słownika. Luka dotyczy wersji 6.0 przed 6.0.2, 5.2 przed 5.2.11 oraz 4.2 przed 4.2.28; starsze, niewspierane serie również mogą być podatne.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań SQL, co może prowadzić do wycieku, modyfikacji lub usunięcia danych w bazie danych organizacji.

Rekomendacja

Niezwłocznie zaktualizuj Django do wersji 6.0.2, 5.2.11 lub 4.2.28 w zależności od używanej serii. Jeśli używasz starszej, niewspieranej wersji, rozważ migrację do wspieranej wersji.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. `.QuerySet.order_by()` is subject to SQL injection in column aliases containing periods when the same alias is, using a suitably crafted dictionary, with dictionary expansion, used in `FilteredRelation`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Solomon Kebede for reporting this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS