Das Django-Team hat am 3. Februar 2026 Sicherheitsupdates für die Versionen 6.0.2, 5.2.11 und 4.2.28 veröffentlicht, die insgesamt sechs Sicherheitslücken schließen. Betroffen sind alle aktiv unterstützten Django-Versionen. Drei der Schwachstellen werden als „high severity“ eingestuft und ermöglichen SQL-Injection-Angriffe.
Die schwerwiegendsten Probleme betreffen SQL-Injection-Vektoren: CVE-2026-1207 erlaubt Angriffe über Raster-Lookups auf PostGIS-Feldern, wenn ungeprüfte Daten als Band-Index verwendet werden. CVE-2026-1287 ermöglicht SQL-Injection über Steuerzeichen in Spalten-Aliassen bei FilteredRelation, und CVE-2026-1312 nutzt eine ähnliche Schwachstelle in QuerySet.order_by() kombiniert mit FilteredRelation. Alle drei Lücken setzen voraus, dass Angreifer Dictionary-Expansion mit präparierten Wörterbüchern in Methoden wie annotate(), aggregate() oder values() einschleusen können.
Zusätzlich wurden zwei DoS-Anfälligkeiten mittlerer Schwere gepatcht: CVE-2025-14550 betrifft ASGI-Requests mit massenweise duplizierten HTTP-Headern, die durch wiederholte String-Konkatenation zu super-linearer Rechenkomplexität führen. CVE-2026-1285 ermöglicht DoS-Angriffe über django.utils.text.Truncator HTML-Methoden bei Eingaben mit vielen unpassenden HTML-End-Tags. Eine niedrig eingestufte Timing-Attack-Schwachstelle (CVE-2025-13473) erlaubt Username-Enumeration bei mod_wsgi-Authentifizierung.
Alle Django-Nutzer sollten umgehend auf die aktuellen Versionen aktualisieren. Prüfen Sie Ihre Django-Installation mit python -m django --version. Besonders kritisch sind Anwendungen, die Nutzereingaben ohne strikte Validierung in ORM-Operationen verarbeiten oder PostGIS-Funktionen nutzen. Die Updates stehen über die üblichen Distributionswege bereit.
Details und Patches: https://www.djangoproject.com/weblog/2026/feb/03/security-releases/
