Los responsables del popular framework web de Python,
Django, han publicado una actualización de seguridad urgente para
solucionar un conjunto de vulnerabilidades de alta gravedad que podrían
permitir a atacantes manipular bases de datos o bloquear servidores.
La actualización aborda seis fallos de seguridad distintos, la mitad de los cuales son vectores
críticos de inyección SQL.
Las correcciones más alarmantes de esta actualización se refieren a tres
vulnerabilidades de inyección SQL de gravedad «Alta».
Estas vulnerabilidades podrían permitir a actores maliciosos ejecutar comandos
SQL arbitrarios, evadiendo las protecciones integradas del framework.
La primera, CVE-2026-1207, afecta a aplicaciones que utilizan PostGIS para
datos geográficos. El
aviso
señala que
«las búsquedas ráster en campos SIG (solo implementadas en PostGIS) eran
susceptibles de inyección SQL si se utilizaban datos no confiables como
índice de banda».
Las otras dos vulnerabilidades de alta gravedad, CVE-2026-1287 y
CVE-2026-1312, implican manipulaciones complejas de consultas. En el caso de
CVE-2026-1287, la clase FilteredRelation era vulnerable a la inyección
mediante alias de columna que contenían caracteres de control, utilizando un
diccionario diseñado específicamente, con expansión de diccionario.
De igual manera, CVE-2026-1312 expuso una debilidad en la forma en que
QuerySet.order_by() gestionaba los alias de columna que contenían
puntos al combinarse con FilteredRelation.
Además del robo de datos, la actualización también elimina los ataques de
denegación de servicio (DoS) que podrían paralizar las aplicaciones.
Un problema de gravedad moderada, CVE-2025-14550, afecta a los usuarios del
estándar ASGI. Explota la forma en que el framework gestiona los
encabezados duplicados, convirtiendo una simple solicitud en un devorador de
recursos.
Según el informe,
«La vulnerabilidad se debía a la concatenación repetida de cadenas al
combinar encabezados repetidos, lo que producía un cálculo superlineal que
resultaba en la degradación o interrupción del servicio».
Otra falla de DoS, CVE-2026-1285, reside en las utilidades de truncamiento de
texto. Se descubrió que métodos como Truncator.chars() eran vulnerables
a ataques que utilizan cantidades masivas de etiquetas HTML.
Completando la lista de parches se encuentra una corrección de gravedad baja
para CVE-2025-13473. Esta vulnerabilidad implica un ataque de sincronización
en el controlador de autenticación mod_wsgi que podría permitir a
atacantes remotos enumerar usuarios mediante un ataque de sincronización. Si
bien es menos crítica que la inyección SQL, representa una fuga de privacidad
que las aplicaciones seguras deberían cerrar.
De acuerdo con la política de versiones de seguridad, el equipo de Django está
lanzando versiones para
Django 6.0.2,
Django 5.2.11
y
Django 4.2.28. Todos los usuarios de Django deben actualizar a la versión más reciente lo
antes posible.
Fuente:
SecurityOnline