CrowdSec говорит о волне атак через SQL-инъекцию в Django

Специалистами CrowdSec с 26 февраля 2026 года регулярно фиксируются попытки эксплуатации CVE-2026-1207, недавно обнаруженной SQL-инъекции в веб-фреймворке Django. Атаки носят постоянный характер и продолжаются в настоящий момент.

На платформе для разведки угроз CrowdSec определяются десятки IP-адресов, с которых была замечена вредоносная активность, связанная с эксплуатацией данной уязвимости. Подобный устойчивый интерес злоумышленников к данной уязвимости может указывать на целенаправленную попытку разведать потенциально уязвимые цели для дальнейшего проведения целевых атак.

Сама уязвимость находится в модуле фреймворка GeoDjango, который предоставляет методы и инструменты для работы с географическими данными, картами и пространственной информацией в веб-приложении. Программа уязвимо, если использует PostGIS в качестве бэкенда и содержит ORM-запросы (lookup) RasterField.

Запрос содержит параметр band (полоса), который используется для получения индекса полосы изображения в базе данных. До исправления в этом параметре отсутствовала валидация значений и имелась функция передать произвольную строку, что делало возможной SQL-инъекцию. Атакующему для успешной эксплуатации необходимо найти у цели точку входа, которая обычно имеет вид /?band= или /api/raster/search/?band=.

Django является распространённым фреймворком для разработки веб-приложений, в том числе и на территории России. По данным Netlas, в российском сегменте интернета находится приблизительно 3600 потенциально уязвимых конечных точек, подверженных CVE-2026-1207. Всего в мире обнаружено 150 тыс. уязвимых хостов.

Рекомендации по устранению:

К уязвимым относятся версии Django ниже 4.2.28, 5.2.11 и 6.0.2.

Если приложение использует уязвимую версию фреймворка, работает с геоданными и применяет PostGIS, рекомендуется в кратчайшие сроки установить актуальные обновления безопасности.

Как защититься?

Защита от подобных угроз требует регулярного выявления уязвимостей, контроля состояния ПО и своевременного обновления компонентов инфраструктуры. Практика демонстрирует, что организациям важно иметь актуальную картину уязвимостей и корректно приоритизировать их устранение, используя решения класса Vulnerability Management (в частности, R-Vision VM).

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется встраивание с внешними решениями, информация о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.