CVE-2026-1287
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 51 - wyżej niż 51% wszystkich znanych CVE
Streszczenie
W Django 6.0 przed 6.0.2, 5.2 przed 5.2.11 oraz 4.2 przed 4.2.28 wykryto podatność na wstrzykiwanie SQL w aliasach kolumn w `FilteredRelation`. Atakujący może wykorzystać kontrolowane znaki w słowniku przekazanym jako `**kwargs` do metod `annotate()`, `aggregate()`, `extra()`, `values()`, `values_list()` i `alias()`.
Ocena ryzyka
Podatność umożliwia atakującemu manipulację zapytaniami SQL, co może prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia.
Rekomendacja
Należy niezwłocznie zaktualizować Django do wersji 6.0.2, 5.2.11 lub 4.2.28 w zależności od używanej serii wydań.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. `FilteredRelation` is subject to SQL injection in column aliases via control characters, using a suitably crafted dictionary, with dictionary expansion, as the `**kwargs` passed to `QuerySet` methods `annotate()`, `aggregate()`, `extra()`, `values()`, `values_list()`, and `alias()`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Solomon Kebede for reporting this issue.

