CrowdSec сообщает о волне атак через SQL-инъекцию в Django

Специалистами CrowdSec с 26 февраля 2026 года регулярно фиксируются попытки эксплуатации CVE-2026-1207, недавно обнаруженной SQL-инъекции в веб-фреймворке Django. Атаки носят постоянный характер и продолжаются в настоящий момент.

На платформе для разведки угроз CrowdSec определяются десятки IP-адресов, с которых была замечена вредоносная активность, связанная с эксплуатацией данной уязвимости. Подобный устойчивый интерес злоумышленников к данной уязвимости может указывать на целенаправленную попытку разведать потенциально уязвимые цели для дальнейшего проведения целевых атак.

Сама уязвимость находится в модуле фреймворка GeoDjango, который предоставляет методы и инструменты для работы с географическими данными, картами и пространственной информацией в веб-приложении. Приложение уязвимо, если использует PostGIS в качестве бэкенда и содержит ORM-запросы (lookup) RasterField.

Запрос содержит параметр band (полоса), который используется для получения индекса полосы изображения в базе данных. До исправления в этом параметре отсутствовала валидация значений и имелась возможность передать произвольную строку, что делало возможной SQL-инъекцию. Атакующему для успешной эксплуатации необходимо найти у цели точку входа, которая обычно имеет вид /?band= или /api/raster/search/?band=.

Django является распространённым фреймворком для разработки веб-приложений, в том числе и на территории России. По данным Netlas, в российском сегменте интернета находится около 3,6 тыс. потенциально уязвимых конечных точек, подверженных CVE-2026-1207. Всего в мире обнаружено 150 тыс. уязвимых хостов.

Рекомендации по устранению:

К уязвимым относятся версии Django ниже 4.2.28, 5.2.11 и 6.0.2.

Если приложение использует уязвимую версию фреймворка, работает