Фонд программного обеспечения Django выпустил экстренные обновления безопасности для устранения шести критических уязвимостей в популярном веб-фреймворке Python. Исправления, опубликованные 3 февраля 2026 года, закрывают серьёзные недостатки, которые позволяют злоумышленникам проводить атаки SQL-инъекциями, вызывать отказ в обслуживании (DoS) и перечислять учётные записи пользователей. Разработчики настоятельно рекомендуют всем пользователям немедленно обновиться.
Django - это широко используемый открытый фреймворк для создания веб-приложений на Python, который лежит в основе таких крупных платформ, как Instagram, Mozilla и Bitbucket. Он следует архитектурному шаблону Model-Template-View и популярен благодаря скорости разработки и удобству для создания сайтов, работающих с базами данных.
Безопасные версии, выпущенные фондом, включают Django 6.0.2, 5.2.11 и 4.2.28, и охватывают все поддерживаемые ветки. Согласно политике безопасности проекта, три уязвимости получили оценку высокой степени серьёзности, две - средней, и одна - низкой.
Высокий риск: уязвимости SQL-инъекции
Среди наиболее опасных - три уязвимости, связанные с внедрением SQL-кода в механизмы работы с базами данных. CVE-2026-1207 затрагивает растровые поиски в полях GIS, реализованных на PostGIS. Эксплуатация этой уязвимости возможна, когда непроверенные данные используются в качестве индекса полосы, что позволяет злоумышленнику внедрить вредоносный SQL-код. PostGIS - это расширение PostgreSQL для работы с пространственными растровыми данными.
Другая серьёзная проблема, CVE-2026-1287, позволяет проводить SQL-инъекцию через псевдонимы столбцов с использованием управляющих символов. Уязвимость активируется при применении "FilteredRelation" со специально сформированными словарями, передаваемыми в методы "QuerySet", такие как "annotate()", "aggregate()" и "values()". Аналогично, CVE-2026-1312 открывает путь для инъекций через метод "QuerySet.order_by()" при комбинации псевдонимов столбцов, содержащих точки, с операциями "FilteredRelation". Эти уязвимости представляют прямую угрозу целостности данных, позволяя атакующему читать, изменять или удалять информацию в базе данных.
Угрозы доступности и перечисления
Помимо SQL-инъекций, обновления устраняют две уязвимости типа «отказ в обслуживании» средней степени серьёзности. CVE-2025-14550 затрагивает реализацию ASGI (Asynchronous Server Gateway Interface) во фреймворке, которая обрабатывает асинхронные веб-запросы. Атакующие могут использовать особенность обработки дублирующихся HTTP-заголовков в "ASGIRequest", вызывая суперлинейные вычисления за счёт повторяющейся конкатенации строк. Это приводит к деградации производительности и потенциальному полному отказу сервиса под нагрузкой.
Также была исправлена уязвимость низкой степени серьёзности CVE-2025-13473, связанная с перечислением имён пользователей через атаку по времени. Хотя она и считается менее опасной, её эксплуатация в связке с другими методами может облегчить злоумышленникам подбор учетных данных (credential stuffing) в приложениях Django, использующих обработчик аутентификации "mod_wsgi". Ещё одна умеренная уязвимость, CVE-2026-1285, может привести к DoS через функцию усечения HTML в "django.utils.text.Truncator".
Меры по устранению и рекомендации
Все версии Django, включая основную ветку разработки, а также серии 6.0, 5.2 и 4.2, подвержены данным уязвимостям. Фонд Django опубликовал патчи для всех поддерживаемых веток, а соответствующие коммиты доступны на GitHub. Системным администраторам необходимо безотлагательно обновить свои установки до защищённых версий. Кроме того, крайне важно убедиться, что весь непроверенный пользовательский ввод надлежащим образом санируется перед выполнением операций с базой данных.
Организациям, использующим Django в промышленной среде, в первую очередь следует сконцентрироваться на устранении уязвимостей SQL-инъекций высокой степени серьёзности. Особенное внимание требуется тем, чьи приложения задействуют функциональность PostGIS или сложные запросы с "FilteredRelation". Уязвимости отказа в обслуживания, затрагивающие развёртывания на ASGI, требуют срочного внимания для высоконагруженных приложений, которые могут стать целью для целенаправленных атак на доступность. Своевременное применение обновлений остаётся ключевым методом защиты от потенциальной эксплуатации этих критических недостатков.
Ссылки
- https://www.djangoproject.com/weblog/2026/feb/03/security-releases/
- https://www.cve.org/CVERecord?id=CVE-2025-13473
- https://www.cve.org/CVERecord?id=CVE-2025-14550
- https://www.cve.org/CVERecord?id=CVE-2026-1207
- https://www.cve.org/CVERecord?id=CVE-2026-1285
- https://www.cve.org/CVERecord?id=CVE-2026-1287
- https://www.cve.org/CVERecord?id=CVE-2026-1312
