CVE-2026-1207 : Injection SQL dans Django/GeoDjango activement exploitée dans la nature
🔍 Contexte Publié le 23 mars 2026 par CrowdSec, cet article rapporte la confirmation par la plateforme de l’exploitation active de CVE-2026-1207, une vulnérabilité d’injection SQL affectant le framework web Python Django, spécifiquement dans les configurations utilisant GeoDjango avec le backend PostGIS. La vulnérabilité a été publiée le 3 février 2026 et n’est pas encore référencée dans le catalogue KEV de la CISA. 🐛 Détails techniques de la vulnérabilité Composant affecté : Module GIS de Django — RasterField lookups avec le backend PostGIS Mécanisme : Mauvaise gestion du paramètre band index, permettant l’injection de commandes SQL malveillantes Endpoints ciblés : /?band= et /api/raster/search/?band= Impact potentiel : Contournement d’authentification, accès à des données sensibles, modification du contenu de la base de données Découverte originale : Créditée à Tarek Nakkouch 📅 Chronologie 3 février 2026 : Publication de CVE-2026-1207 18 février 2026 : CrowdSec publie une règle de détection 26 février 2026 : Premières attaques observées par CrowdSec 23 mars 2026 : Confirmation publique de l’exploitation active 📊 Analyse du paysage de menace Les attaques observées présentent un volume stable semaine après semaine, sans pics volumétriques massifs. Le pattern indique une reconnaissance ciblée visant à identifier les configurations Django/PostGIS vulnérables, plutôt qu’un spray indiscriminé. Ce type de comportement est souvent un précurseur de campagnes plus dommageables et ciblées. ...