Django

🔍 Contexte Publié le 23 mars 2026 par CrowdSec, cet article rapporte la confirmation par la plateforme de l’exploitation active de CVE-2026-1207, une vulnérabilité d’injection SQL affectant le framework web Python Django, spécifiquement dans les configurations utilisant GeoDjango avec le backend PostGIS. La vulnérabilité a été publiée le 3 février 2026 et n’est pas encore référencée dans le catalogue KEV de la CISA. 🐛 Détails techniques de la vulnérabilité Composant affecté : Module GIS de Django — RasterField lookups avec le backend PostGIS Mécanisme : Mauvaise gestion du paramètre band index, permettant l’injection de commandes SQL malveillantes Endpoints ciblés : /?band= et /api/raster/search/?band= Impact potentiel : Contournement d’authentification, accès à des données sensibles, modification du contenu de la base de données Découverte originale : Créditée à Tarek Nakkouch 📅 Chronologie 3 février 2026 : Publication de CVE-2026-1207 18 février 2026 : CrowdSec publie une règle de détection 26 février 2026 : Premières attaques observées par CrowdSec 23 mars 2026 : Confirmation publique de l’exploitation active 📊 Analyse du paysage de menace Les attaques observées présentent un volume stable semaine après semaine, sans pics volumétriques massifs. Le pattern indique une reconnaissance ciblée visant à identifier les configurations Django/PostGIS vulnérables, plutôt qu’un spray indiscriminé. Ce type de comportement est souvent un précurseur de campagnes plus dommageables et ciblées. ...

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26. 🚨 Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable. ...

Source : Trellix – Dans son « Bug Report » de septembre 2025, Trellix recense cinq vulnérabilités critiques touchant des composants largement déployés (Chrome V8, Windows NTLM/MSMQ, Sangoma FreePBX, Django), avec deux failles activement exploitées. ⚠️ • Vulnérabilités clés CVE-2025-10585 (Chrome V8) : type confusion permettant une exécution de code à distance (RCE) via du contenu web malveillant. CVE-2025-57819 (FreePBX) : injection SQL dans la validation de modular.php (module endpoint) menant à contournement d’authentification et exécution de commandes root via l’endpoint /admin/ajax.php. CVE-2025-54918 (Windows NTLM) : élévation de privilèges d’un compte peu privilégié vers SYSTEM. CVE-2025-50177 (Windows MSMQ) : use-after-free avec condition de course exploitée à distance (vecteur réseau) mais à haute complexité. CVE-2025-57833 (Django) : mauvaise sanitisation des alias de colonnes dans FilteredRelation/QuerySet, conduisant à injection SQL pouvant atteindre une RCE sur PostgreSQL via COPY…TO PROGRAM. • Exploitation observée et disponibilité d’exploits ...