2026-02-06 01:47:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Django团队紧急修复了6个高危漏洞，涵盖3个可执行任意SQL命令的SQL注入漏洞及多个拒绝服务漏洞，影响4.2至6.0版本。漏洞涉及PostGIS栅格查询、FilteredRelation及ASGI组件。官方已发布补丁版本，建议用户立即升级，并严格验证不受信任的输入，审计相关代码以修复安全风险。 综合评分： 91 文章分类： 漏洞预警,WEB安全,漏洞分析,应用安全

cover_image

Django 高危漏洞可引发拒绝服务与 SQL 注入攻击

邑安科技邑安科技

邑安全

2026年2月5日 11:17 广东

更多全球网络安全资讯尽在邑安全

漏洞概况

Django 开发团队紧急发布安全更新，修复了影响多个版本 Python Web 框架的六个高危漏洞。这些漏洞涉及三个高危 SQL 注入漏洞和多个拒绝服务攻击向量，影响 Django 4.2、5.2、6.0 版本及主开发分支。

SQL 注入漏洞分析

已披露的三个高危漏洞可能允许攻击者执行任意 SQL 命令：

（CVE-2026-1207）影响 PostGIS 用户，攻击者可通过 GIS 字段的栅格查询功能，将不受信任的数据作为波段索引参数触发 SQL 注入
（CVE-2026-1287）针对 FilteredRelation 功能，当精心构造的字典被传递给 annotate()、aggregate() 和 values() 等 QuerySet 方法时，可通过控制字符在列别名中实现 SQL 注入
（CVE-2026-1312）利用 QuerySet.order_by() 方法，当与 FilteredRelation 结合使用时，可通过包含句点的列别名实施 SQL 注入

拒绝服务漏洞详情

同时修复的两个中危拒绝服务漏洞包括：

（CVE-2025-14550）影响 ASGI 实现，攻击者发送包含重复标头的请求会导致字符串重复拼接、超线性计算和服务降级
（CVE-2026-1285）针对 django.utils.text.Truncator 的 HTML 方法，当处理包含大量未匹配 HTML 结束标签的输入时，chars()、words() 函数及 truncatechars_html、truncatewords_html 模板过滤器会出现二次方时间复杂度问题

此外，（CVE-2025-13473）低危时序攻击漏洞影响 mod_wsgi 认证处理器，攻击者可通过测量 check_password() 函数的响应时间差异枚举有效用户名，辅助暴力破解攻击。

漏洞影响版本与修复措施

| CVE编号 | 漏洞描述 | 严重等级 | 影响版本 | | — | — | — | — | | CVE-2025-13473 | mod_wsgi认证处理器时序差异导致的用户名枚举 | 低危 | 4.2, 5.2, 6.0, main | | CVE-2025-14550 | ASGI重复标头引发的拒绝服务 | 中危 | 4.2, 5.2, 6.0, main | | CVE-2026-1207 | PostGIS栅格查询SQL注入 | 高危 | 4.2, 5.2, 6.0, main | | CVE-2026-1285 | Truncator HTML方法拒绝服务 | 中危 | 4.2, 5.2, 6.0, main | | CVE-2026-1287 | 列别名控制字符SQL注入 | 高危 | 4.2, 5.2, 6.0, main | | CVE-2026-1312 | QuerySet.order_by()结合FilteredRelation的SQL注入 | 高危 | 4.2, 5.2, 6.0, main |