Los desarrolladores del conocido framework web de Python, Django, han lanzado una actualización de seguridad crítica para abordar un conjunto de vulnerabilidades de alta severidad que podrían permitir a atacantes manipular bases de datos o interrumpir servidores.
La nueva actualización corrige seis fallas de seguridad diferentes, de las cuales la mitad son vectores críticos de inyección SQL.
Las correcciones más preocupantes en esta actualización están relacionadas con tres vulnerabilidades de inyección SQL clasificadas como «Altas».
Estas fallas podrían ofrecer a agentes maliciosos la capacidad de ejecutar comandos SQL arbitrarios, eludiendo las medidas de seguridad integradas en el framework.
La primera, CVE-2026-1207, afecta a aplicaciones que utilizan PostGIS para manejar datos geográficos. El
aviso
indica que «las búsquedas ráster en campos SIG (solo disponibles en PostGIS) eran vulnerables a inyección SQL si se usaban datos no confiables como índice de banda».
Las otras dos vulnerabilidades críticas, CVE-2026-1287 y CVE-2026-1312, implican manipulaciones complejas de consultas. En el caso de
CVE-2026-1287, la clase FilteredRelation presentaba una vulnerabilidad a la inyección mediante alias de columna que contenían caracteres de control, utilizando un diccionario diseñado específicamente que provocaba una expansión de diccionario.
De manera similar, CVE-2026-1312 expuso una debilidad en la gestión de alias de columna con puntos dentro de QuerySet.order_by() al combinarse con FilteredRelation.
Además del riesgo de robo de datos, la actualización también mitiga ataques de denegación de servicio (DoS) que podrían paralizar las aplicaciones.
Una vulnerabilidad de gravedad moderada, CVE-2025-14550, afecta a los usuarios del estándar ASGI. Esta problemática explota la manera en que el framework maneja los encabezados duplicados, transformando una simple solicitud en un consumidor excesivo de recursos.
Según el informe,
«La vulnerabilidad se originaba en la concatenación repetida de cadenas al unir encabezados duplicados, lo que resultaba en un cálculo superlineal que conducía a la degradación o interrupción del servicio».
Otra falla de DoS, CVE-2026-1285, está relacionada con las herramientas de truncamiento de texto. Se descubrió que métodos como Truncator.chars() eran vulnerables a ataques que utilizaban grandes volúmenes de etiquetas HTML.
Para finalizar, se incluye una corrección de baja gravedad para CVE-2025-13473. Esta vulnerabilidad implica un ataque de sincronización en el controlador de autenticación mod_wsgi que podría permitir a atacantes remotos enumerar usuarios a través de un ataque de sincronización. Aunque es menos crítica que la inyección SQL, representa una fuga de información que las aplicaciones seguras deberían evitar.
Siguiendo su política de actualizaciones de seguridad, el equipo de Django está lanzando versiones para
Django 6.0.2,
Django 5.2.11
y
Django 4.2.28. Todos los usuarios de Django deben actualizar a la versión más reciente lo antes posible.
Fuente:
SecurityOnline
Con Información de blog.segu-info.com.ar