【漏洞情报】Django 多个安全漏洞通告
【情报名称】Django 多个安全漏洞通告
【情报等级】高危
【漏洞描述】
近日,Django 发布安全公告,修复了多个存在于 Django 中的安全漏洞,漏洞编号为:CVE-2025-13473、CVE-2025-14550、CVE-2026-1207、CVE-2026-1285、CVE-2026-1287、CVE-2026-1312。
Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架,它鼓励快速开发和简洁、实用的设计。
CVE-2025-13473 用户名枚举漏洞
近日,Django 发布安全公告,修复了多个存在于 Django 中的安全漏洞,漏洞编号为:CVE-2025-13473、CVE-2025-14550、CVE-2026-1207、CVE-2026-1285、CVE-2026-1287、CVE-2026-1312。
Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架,它鼓励快速开发和简洁、实用的设计。
CVE-2025-13473 用户名枚举漏洞
漏洞类型:其它
漏洞等级:低危
漏洞详情:通过 mod_wsgi 认证 django.contrib.auth.handlers.modwsgi.check_password() 功能使远程攻击者能够通过时序攻击枚举用户。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2025-14550 拒绝服务漏洞
漏洞类型:拒绝服务
漏洞等级:中危
漏洞详情:当接收到单个头部的重复时, ASGIRequest 远程攻击者可以通过多个重复头部的专门请求,引发潜在的拒绝服务。该漏洞源于在重复字符串串接时,重复组合头部,产生超线性计算,导致服务降级或中断。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2026-1207 SQL 注入
漏洞类型:SQL 注入
漏洞等级:高危
漏洞详情:如果使用不可信数据作为带状索引,GIS 字段的栅格查询(仅在 PostGIS 上实现)会被 SQL 注入。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2026-1285 拒绝服务漏洞
漏洞类型:拒绝服务
漏洞等级:中危
漏洞详情:django.utils.text.Truncator.chars() Truncator.words() 而方法(带 html=True 和 和 truncatechars_html truncatewords_html 模板过滤器)则可能因某些输入中大量不匹配的 HTML 端标签而遭受拒绝服务攻击,可能导致 HTML 解析过程中时间复杂度达到二次方。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2026-1287 SQL 注入
漏洞类型:SQL 注入
漏洞等级:高危
漏洞详情:FilteredRelation 在列别名中通过控制字符存在 SQL 注入风险,使用一个精心设计的字典,并利用字典扩展,当 **kwargs 传递给 QuerySet 方法的 annotate() 、 aggregate() 、 extra() 、 values() 、 values_list() 和 alias() 时。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2026-1312 SQL 注入
漏洞类型:SQL 注入
漏洞等级:高危
漏洞详情:QuerySet.order_by() 在 FilteredRelation 中使用时,如果列别名包含点号,且使用了一个经过精心设计的字典,并进行了字典扩展,则存在 SQL 注入漏洞。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
受影响产品
影响版本:
- Django 主分支
- Django 6.0 分支
- Django 5.2 分支
- Django 4.2 分支
非影响版本:
- Django 主分支已在代码中修复
- Django 6.0 分支已在代码中修复
- Django 5.2 分支已在代码中修复
- Django 4.2 分支已在代码中修复
解决方案与修复建议
目前官方已发布安全版本,受影响用户可下载:
最近漏洞新闻挺多啊