Django Update 02-2026: SQL Injection Schwachstellen gefixt

Das Django-Team hat am 3. Februar 2026 Sicherheitsupdates für die Versionen 6.0.2, 5.2.11 und 4.2.28 veröffentlicht, die insgesamt sechs Sicherheitslücken schließen. Betroffen sind alle aktiv unterstützten Django-Versionen. Drei der Schwachstellen werden als “high severity” eingestuft und ermöglichen SQL-Injection-Angriffe.

Die schwerwiegendsten Probleme betreffen SQL-Injection-Vektoren: CVE-2026-1207 erlaubt Angriffe über Raster-Lookups auf PostGIS-Feldern, wenn ungeprüfte Daten als Band-Index verwendet werden. CVE-2026-1287 ermöglicht SQL-Injection über Steuerzeichen in Spalten-Aliassen bei FilteredRelation, und CVE-2026-1312 nutzt eine ähnliche Schwachstelle in QuerySet.order_by() kombiniert mit FilteredRelation. Alle drei Lücken setzen voraus, dass Angreifer Dictionary-Expansion mit präparierten Wörterbüchern in Methoden wie annotate(), aggregate() oder values() einschleusen können.

Zusätzlich wurden zwei DoS-Anfälligkeiten mittlerer Schwere gepatcht: CVE-2025-14550 betrifft ASGI-Requests mit massenweise duplizierten HTTP-Headern, die durch wiederholte String-Konkatenation zu super-linearer Rechenkomplexität führen. CVE-2026-1285 ermöglicht DoS-Angriffe über django.utils.text.Truncator HTML-Methoden bei Eingaben mit vielen unpassenden HTML-End-Tags. Eine niedrig eingestufte Timing-Attack-Schwachstelle (CVE-2025-13473) erlaubt Username-Enumeration bei mod_wsgi-Authentifizierung.

Alle Django-Nutzer sollten umgehend auf die aktuellen Versionen aktualisieren. Prüfen Sie Ihre Django-Installation mit python -m django --version. Besonders kritisch sind Anwendungen, die Nutzereingaben ohne strikte Validierung in ORM-Operationen verarbeiten oder PostGIS-Funktionen nutzen. Die Updates stehen über die üblichen Distributionswege bereit.

Details und Patches: https://www.djangoproject.com/weblog/2026/feb/03/security-releases/

Related Posts

Notepad++: Chrysalis-Backdoor der Lotus Blossom APT-Gruppe

Rapid7 hat eine komplexe Angriffskampagne der chinesischen APT-Gruppe Lotus Blossom aufgedeckt, die seit 2009 aktiv ist und primär Regierungsbehörden, Telekommunikation, Luftfahrt und kritische Infrastrukturen in Südostasien und Zentralamerika ins Visier nimmt. Der Angriffsvektor nutzte kompromittierte Notepad++-Infrastruktur zur Verbreitung einer bisher unbekannten Backdoor namens Chrysalis.

Read More

Protobuf-Bibliothek anfällig für DoS durch JSON-Parsing-Fehler

In der Python-Implementierung der protobuf-Bibliothek (alle Versionen bis einschließlich 6.33.4) wurde eine Sicherheitslücke mit hohem Schweregrad entdeckt. Die Schwachstelle CVE-2026-0994 ermöglicht Denial-of-Service-Angriffe durch Umgehung der Rekursionstiefenbegrenzung beim JSON-Parsing.

Read More

Kritische Remote Code Execution Schwachstelle in Moodle - CVE-2025-67847

In Moodle wurde eine kritische Schwachstelle entdeckt, die es Angreifern mit Zugang zur Wiederherstellungsfunktion ermöglicht, beliebigen Code auf dem Server auszuführen. Die Sicherheitslücke (CVE-2025-67847) betrifft alle Versionen bis einschließlich 5.1.1 und erhält einen CVSS-Score von 8.8 (High). Das Problem liegt in einer unzureichenden Validierung bei der Verarbeitung von Wiederherstellungs-Eingaben, wodurch Restore-Routinen unbeabsichtigte Befehle interpretieren und ausführen können.

Read More