SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

5 feb 2026

Segu-Info » , » Actualización urgente de Django: corrige tres inyecciones SQL críticas y riesgos de denegación de servicio (DoS)

Actualización urgente de Django: corrige tres inyecciones SQL críticas y riesgos de denegación de servicio (DoS)

5 feb 2026, 9:30:00 a.m.   Comenta primero!
  ,  

Los responsables del popular framework web de Python, Django, han publicado una actualización de seguridad urgente para solucionar un conjunto de vulnerabilidades de alta gravedad que podrían permitir a atacantes manipular bases de datos o bloquear servidores.

La actualización aborda seis fallos de seguridad distintos, la mitad de los cuales son vectores críticos de inyección SQL.

Las correcciones más alarmantes de esta actualización se refieren a tres vulnerabilidades de inyección SQL de gravedad "Alta". Estas vulnerabilidades podrían permitir a actores maliciosos ejecutar comandos SQL arbitrarios, evadiendo las protecciones integradas del framework.

La primera, CVE-2026-1207, afecta a aplicaciones que utilizan PostGIS para datos geográficos. El aviso señala que "las búsquedas ráster en campos SIG (solo implementadas en PostGIS) eran susceptibles de inyección SQL si se utilizaban datos no confiables como índice de banda".

Las otras dos vulnerabilidades de alta gravedad, CVE-2026-1287 y CVE-2026-1312, implican manipulaciones complejas de consultas. En el caso de CVE-2026-1287, la clase FilteredRelation era vulnerable a la inyección mediante alias de columna que contenían caracteres de control, utilizando un diccionario diseñado específicamente, con expansión de diccionario.

De igual manera, CVE-2026-1312 expuso una debilidad en la forma en que QuerySet.order_by() gestionaba los alias de columna que contenían puntos al combinarse con FilteredRelation.

Además del robo de datos, la actualización también elimina los ataques de denegación de servicio (DoS) que podrían paralizar las aplicaciones.

Un problema de gravedad moderada, CVE-2025-14550, afecta a los usuarios del estándar ASGI. Explota la forma en que el framework gestiona los encabezados duplicados, convirtiendo una simple solicitud en un devorador de recursos.

Según el informe, "La vulnerabilidad se debía a la concatenación repetida de cadenas al combinar encabezados repetidos, lo que producía un cálculo superlineal que resultaba en la degradación o interrupción del servicio".

Otra falla de DoS, CVE-2026-1285, reside en las utilidades de truncamiento de texto. Se descubrió que métodos como Truncator.chars() eran vulnerables a ataques que utilizan cantidades masivas de etiquetas HTML.

Completando la lista de parches se encuentra una corrección de gravedad baja para CVE-2025-13473. Esta vulnerabilidad implica un ataque de sincronización en el controlador de autenticación mod_wsgi que podría permitir a atacantes remotos enumerar usuarios mediante un ataque de sincronización. Si bien es menos crítica que la inyección SQL, representa una fuga de privacidad que las aplicaciones seguras deberían cerrar.

De acuerdo con la política de versiones de seguridad, el equipo de Django está lanzando versiones para Django 6.0.2, Django 5.2.11 y Django 4.2.28. Todos los usuarios de Django deben actualizar a la versión más reciente lo antes posible.

Fuente: SecurityOnline



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!