CVE-2026-1312 Djangoproject — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,4 (MEDIUM)
Уязвимые версии	4.2 — 6.0.2
Устранено в версии	4.2.28
Тип уязвимости	CWE-89 (SQL-инъекция)
Поставщик	Djangoproject
Публичный эксплойт	Нет

Проблема была обнаружена в версиях 6.0 до 6.0.2, 5.2 до 5.2.11 и 4.2 до 4.2.28. `.QuerySet.order_by()` подлежит внедрению SQL в псевдонимы столбцов, содержащие точки, когда тот же псевдоним, используя соответствующим образом созданный словарь, с расширением словаря, используется в `FilteredRelation`. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты. Джанго хотел бы поблагодарить Соломона Кебеде за сообщение об этой проблеме.

Показать оригинальное описание (EN)

An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. `.QuerySet.order_by()` is subject to SQL injection in column aliases containing periods when the same alias is, using a suitably crafted dictionary, with dictionary expansion, used in `FilteredRelation`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Solomon Kebede for reporting this issue.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-89 SQL Injection (SQL-инъекция)

Уязвимые продукты 3

Конфигурация	От (включительно)	До (исключительно)
Djangoproject Django cpe:2.3:a:djangoproject:django::::::::	`4.2`	`4.2.28`
Djangoproject Django cpe:2.3:a:djangoproject:django::::::::	`5.2`	`5.2.11`
Djangoproject Django cpe:2.3:a:djangoproject:django::::::::	`6.0`	`6.0.2`