CVE-2026-1207

Critical(9.3)

CVE-2026-1207 — Django RasterField band indexパラメータSQLインジェクション

公開日: 2026-04-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Django	Django Software Foundation	6.0 - 6.0.1, 5.2 - 5.2.10, <= 4.2.27

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

1PostGISおよびRasterFieldを利用しているか確認する
2Django 6.0.2 / 5.2.11 / 4.2.28以降へアップデートする
3CVE-2026-1287と併せて対応する

影響対象

Django + PostGIS利用者

補足

-PostGISを使用していない場合は影響を受けません

CVEDjangoSQLインジェクションPostGISPython

概要

Django 6.0.2未満、5.2.11未満、4.2.28未満において、PostGIS上の RasterField のラスタールックアップでband indexパラメータを通じたSQLインジェクションが可能な脆弱性が存在します。PostGISを使用している環境のみが影響を受けます。

CVSSベクトル（CVSS v4.0）

項目	値
スコア	9.3（Critical）
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な特権	なし
ユーザー関与	不要

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Django	Django Software Foundation	6.0 〜 6.0.1
Django	Django Software Foundation	5.2 〜 5.2.10
Django	Django Software Foundation	〜 4.2.27

修正バージョンと回避策

修正バージョン: Django 6.0.2 / 5.2.11 / 4.2.28
PostGISの RasterField を使用していない場合は影響を受けません

関連リンク

データソース: NVD (NIST), GitHub Advisory Database, OSV (Google) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-1287Django FilteredRelation SQLインジェクションCVSS 9.3 CVE-2025-64459Django _connector SQLインジェクションCVSS 9.1

参考リンク

GHSA:https://github.com/advisories/GHSA-mwm9-4648-f68q

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-1207

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。