CVE-2026-1207

Nome do Software Vulnerável e Versões Afetadas Versões do Django anteriores a 6.0.2 Versões do Django anteriores a 5.2.11 Versões do Django anteriores a 4.2.28 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores

Descrição Essa vulnerabilidade permite que atacantes remotos injetem código SQL por meio do parâmetro de índice de banda ao realizar consultas raster no RasterField (implementado apenas no PostGIS). A causa raiz é a falha em parametrizar corretamente o índice de banda raster durante o processamento de consultas do RasterField, permitindo que entradas fornecidas pelo usuário sejam concatenadas diretamente em consultas SQL executadas pelo backend do PostGIS. Atacantes podem injetar SQL arbitrário por meio de parâmetros de banda raster criados especificamente, potencialmente levando ao roubo de dados, modificação do conteúdo do banco de dados, contorno de autenticação e até execução remota de código nos hosts do banco de dados. Essa vulnerabilidade afeta aplicações que utilizam o GeoDjango RasterField com PostGIS e expõem consultas raster por meio de entradas fornecidas pelo usuário.

Recomendações Atualize para a versão 6.0.2 ou posterior do Django. Atualize para a versão 5.2.11 ou posterior do Django. Atualize para a versão 4.2.28 ou posterior do Django. Para séries do Django sem suporte (5.0.x, 4.1.x e 3.2.x), migre para uma versão suportada. Restringir o acesso aos endpoints raster. Implantar regras de WAF para filtrar padrões de injeção de SQL. Aplicar validação rigorosa de entrada. Revise os logs do aplicativo e do banco de dados em busca de consultas raster anômalas e uso inesperado de funções PostGIS.