Специалистами CrowdSec с 26 февраля 2026 года регулярно фиксируются попытки эксплуатации CVE-2026-1207, недавно обнаруженной SQL-инъекции в веб-фреймворке Django. Атаки носят постоянный характер и продолжаются в настоящий момент. На платформе для разведки угроз CroudSec определяются десятки IP-адресов, с которых была замечена вредоносная активность, связанная с эксплуатацией данной уязвимости. Подобный устойчивый интерес злоумышленников к данной уязвимости может указывать на целенаправленную попытку разведать потенциально уязвимые цели для дальнейшего проведения целевых атак.Сама уязвимость находится в модуле фреймворка GeoDjango, который предоставляет методы и инструменты для работы с географическими данными, картами и пространственной информацией в веб-приложении. Приложение уязвимо, если использует PostGIS в качестве бэкенда и содержит ORM-запросы (lookup) RasterField. Запрос содержит параметр band (полоса), который используется для получения индекса полосы изображения в базе данных. До исправления в этом параметре отсутствовала валидация значений и имелась возможность передать произвольную строку, что делало возможной SQL-инъекцию. Атакующему для успешной эксплуатации необходимо найти у цели точку входа, которая обычно имеет вид /?band= или /api/raster/search/?band=.Django является распространённым фреймворком для разработки веб-приложений, в том числе и на территории России. По данным Netlas, в российском сегменте интернета находится около 3600 потенциально уязвимых конечных точек, подверженных CVE-2026-1207. Всего в мире обнаружено 150 тыс. уязвимых хостов. Читать далее