文章总结: CVE-2026-1207是一个高危DjangoSQL注入漏洞,评分8.3,正被在野利用。该漏洞影响PostGIS数据库上的RasterField查找操作,因波段索引参数直接拼接进SQL查询导致。攻击者可远程读取、篡改或删除数据。受影响版本包括Django6.0.2之前、5.2.11之前及4.2.28之前。建议立即更新至修复版本,或审查查询、添加WAF规则并收紧数据库权限。 综合评分: 89 文章分类: 漏洞分析,应急响应,威胁情报,WEB安全,安全工具
Django SQL 注入漏洞 CVE-2026-1207 正在被在野利用
sec随谈 sec随谈
sec随谈
2026年7月10日 12:17 北京
在小说阅读器读本章
去阅读
摘要
CVE-2026-1207 是一个高危(high-severity)的 Django SQL 注入漏洞,评分为 8.3。它影响当 Django 运行在 PostGIS 数据库上时的 RasterField(栅格字段)查找操作。安全公司 CrowdSec 与加拿大网络安全中心已确认攻击者正在野利用该漏洞,因此请立即打补丁。
为何重要
Django 支撑着相当大比例的 Python Web 应用。因此,即便是一个影响范围狭窄的漏洞,也可能波及众多目标。这个 Django SQL 注入漏洞允许一个拥有低权限的远程攻击者读取、篡改或删除数据库数据。红帽(Red Hat)将该漏洞评定为”重要(Important)”级别,并标记多个产品受影响,包括 Ansible Automation Platform、Satellite、Discovery 和 Insights——前提是它们在使用 Django 时启用了 PostGIS 栅格查找功能。
攻击原理
该漏洞位于 RasterField 上的栅格查找操作中,而 RasterField 是 PostGIS 特有的一种字段类型。Django 在处理时将波段索引(band index)参数直接内联(inline)拼接进 SQL 查询,而不是通过参数绑定(binding)的方式传入。因此,能够控制该参数值的攻击者便可注入自己的 SQL。值得注意的是,这个 Django SQL 注入漏洞并非典型的 ORM 漏洞,因为标准的 ORM 仍保持参数化查询。该问题由研究员 Tarek Nakkouch 报告。
受影响版本
该漏洞影响 6.0.2 之前的 Django 6.0、5.2.11 之前的 5.2,以及 4.2.28 之前的 4.2。更老旧的、已不受支持的分支(如 3.2.x)也可能受影响。未使用 PostGIS RasterField 查找的应用则不受影响。
补丁与缓解措施
请立即更新。Django 团队已于 2026 年 2 月 3 日在所有受支持的分支上发布了修复。你可以在该项目的安全发布说明中查看详情。加拿大网络安全中心也发布了公告,CrowdSec 则于 2 月下旬首次观测到实际攻击。其遥测数据显示,攻击者是在对 PostGIS 环境进行持续的定向探测,而非大规模扫描——这是存在针对性攻击意图的迹象。如果你无法立即打补丁,可审查 RasterField 相关查询、为波段参数添加 WAF(Web 应用防火墙)规则,并收紧数据库权限。
参考链接:
https://www.djangoproject.com/weblog/2026/feb/03/security-releases/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《Django SQL 注入漏洞 CVE-2026-1207 正在被在野利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论