PT-2026-6036 · Django+3 · Django+3

Jacob Walls

Publicado

2026-02-03

Atualizado

2026-03-10

CVE-2026-1287

CVSS v4.0

8.1

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Nome do Software Vulnerável e Versões Afetadas Versões do Django 6.0 até 6.0.1 Versões do Django 5.2 até 5.2.10 Versões do Django 4.2 até 4.2.27 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores

Descrição O componente FilteredRelation está suscetível a injeção de SQL em aliases de coluna através do uso de caracteres de controle. Isso ocorre quando um dicionário manipulado é usado com expansão de dicionário como os **kwargs passados para os métodos annotate(), aggregate(), extra(), values(), values list() e alias() do QuerySet.

Recomendações Atualize para a versão 6.0.2 do Django ou posterior. Atualize para a versão 5.2.11 do Django ou posterior. Atualize para a versão 4.2.28 do Django ou posterior.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BDU:2026-03469

BIT-DJANGO-2026-1287

CVE-2026-1287

ECHO-F04C-582A-DF62

GHSA-GVG8-93H5-G6QQ

MGASA-2026-0032

OESA-2026-1307

OESA-2026-1308

OESA-2026-1309

OESA-2026-1343

OESA-2026-1344

OESA-2026-1507

OPENSUSE-SU-2026:10145-1

OPENSUSE-SU-2026:10160-1

OPENSUSE-SU-2026:10247-1

OPENSUSE-SU-2026:20184-1

PYSEC-2026-46

RHSA-2026:14835

RHSA-2026:3958

RHSA-2026:3959

RHSA-2026:5970

RHSA-2026:5971

SUSE-SU-2026:0440-1

USN-8009-1

Produtos afetados

Django

Linuxmint

Red Os

Ubuntu

PT-2026-6036 · Django+3 · Django+3

CVE-2026-1287

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 68