🔍 Contexte

PubliĂ© le 23 mars 2026 par CrowdSec, cet article rapporte la confirmation par la plateforme de l’exploitation active de CVE-2026-1207, une vulnĂ©rabilitĂ© d’injection SQL affectant le framework web Python Django, spĂ©cifiquement dans les configurations utilisant GeoDjango avec le backend PostGIS. La vulnĂ©rabilitĂ© a Ă©tĂ© publiĂ©e le 3 fĂ©vrier 2026 et n’est pas encore rĂ©fĂ©rencĂ©e dans le catalogue KEV de la CISA.

🐛 DĂ©tails techniques de la vulnĂ©rabilitĂ©

  • Composant affectĂ© : Module GIS de Django — RasterField lookups avec le backend PostGIS
  • MĂ©canisme : Mauvaise gestion du paramĂštre band index, permettant l’injection de commandes SQL malveillantes
  • Endpoints ciblĂ©s : /?band= et /api/raster/search/?band=
  • Impact potentiel : Contournement d’authentification, accĂšs Ă  des donnĂ©es sensibles, modification du contenu de la base de donnĂ©es
  • DĂ©couverte originale : CrĂ©ditĂ©e Ă  Tarek Nakkouch

📅 Chronologie

  • 3 fĂ©vrier 2026 : Publication de CVE-2026-1207
  • 18 fĂ©vrier 2026 : CrowdSec publie une rĂšgle de dĂ©tection
  • 26 fĂ©vrier 2026 : PremiĂšres attaques observĂ©es par CrowdSec
  • 23 mars 2026 : Confirmation publique de l’exploitation active

📊 Analyse du paysage de menace

Les attaques observĂ©es prĂ©sentent un volume stable semaine aprĂšs semaine, sans pics volumĂ©triques massifs. Le pattern indique une reconnaissance ciblĂ©e visant Ă  identifier les configurations Django/PostGIS vulnĂ©rables, plutĂŽt qu’un spray indiscriminĂ©. Ce type de comportement est souvent un prĂ©curseur de campagnes plus dommageables et ciblĂ©es.

đŸ›Ąïž Versions corrigĂ©es

  • SĂ©rie 6.0 : 6.0.2 ou ultĂ©rieure
  • SĂ©rie 5.2 : 5.2.11 ou ultĂ©rieure
  • SĂ©rie 4.2 : 4.2.28 ou ultĂ©rieure

📌 Type d’article

Il s’agit d’un rapport de vulnĂ©rabilitĂ© combinant une alerte d’exploitation active et une analyse de menace, publiĂ© par CrowdSec pour informer les utilisateurs de Django/GeoDjango de l’exploitation en cours de CVE-2026-1207.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1110 — Brute Force (Credential Access)
  • T1005 — Data from Local System (Collection)

IOC

  • CVEs : CVE-2026-1207

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-1207