CVE-2026-1207
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 95 - wyżej niż 95% wszystkich znanych CVE
Streszczenie
W Django 6.0 przed 6.0.2, 5.2 przed 5.2.11 oraz 4.2 przed 4.2.28 odkryto podatność na iniekcję SQL w operacjach rasterowych na polu RasterField (dostępnym tylko z PostGIS). Atakujący zdalnie może wstrzyknąć kod SQL poprzez parametr indeksu pasma (band index).
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do bazy danych, wyciek lub modyfikację danych, a także potencjalne przejęcie kontroli nad systemem bazodanowym.
Rekomendacja
Należy niezwłocznie zaktualizować Django do wersji 6.0.2, 5.2.11 lub 4.2.28 w zależności od używanej serii. Jeśli to niemożliwe, tymczasowo wyłączyć funkcjonalność RasterField lub ograniczyć dostęp do niej.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. Raster lookups on ``RasterField`` (only implemented on PostGIS) allows remote attackers to inject SQL via the band index parameter. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Tarek Nakkouch for reporting this issue.

