PT-2026-6038 · Django+3 · Django+3

Jacob Walls

Publicado

2026-02-03

Atualizado

2026-03-06

CVE-2026-1312

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Nome do Software Vulnerável e Versões Afetadas Versões do Django 6.0 até 6.0.1 Versões do Django 5.2 até 5.2.10 Versões do Django 4.2 até 4.2.27 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores

Descrição A função .QuerySet.order by() é suscetível a injeção de SQL quando aliases de colunas contêm pontos, particularmente quando um dicionário manipulado é usado com expansão de dicionário dentro de um FilteredRelation. Isso pode ocorrer quando o mesmo alias é utilizado. Séries anteriores e não suportadas do Django, incluindo as versões 5.0.x, 4.1.x e 3.2.x, também podem ser afetadas.

Recomendações Atualize para a versão 6.0.2 ou posterior do Django. Atualize para a versão 5.2.11 ou posterior do Django. Atualize para a versão 4.2.28 ou posterior do Django.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BIT-DJANGO-2026-1312

CVE-2026-1312

GHSA-6426-9FV3-65X8

MGASA-2026-0032

OESA-2026-1307

OESA-2026-1308

OESA-2026-1309

OESA-2026-1343

OESA-2026-1344

OESA-2026-1507

OPENSUSE-SU-2026:10145-1

OPENSUSE-SU-2026:10160-1

OPENSUSE-SU-2026:10247-1

OPENSUSE-SU-2026:20184-1

PYSEC-2026-47

RHSA-2026:14835

RHSA-2026:3958

RHSA-2026:3959

RHSA-2026:5970

RHSA-2026:5971

SUSE-SU-2026:0440-1

USN-8009-1

Produtos afetados

Django

Linuxmint

Red Os

Ubuntu

PT-2026-6038 · Django+3 · Django+3

CVE-2026-1312

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 67