つみかさね

CVE-2026-1287

Critical(9.4)

CVE-2026-1287 — Django FilteredRelation SQLインジェクション

公開日: 2026-04-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation< 6.0.2 / < 5.2.11 / < 4.2.28

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Djangoのバージョンを確認する
  2. 26.0.2 / 5.2.11 / 4.2.28未満の場合は対応バージョンへアップデートする
  3. 3アップデートが困難な場合は外部入力のサニタイズを強化する

影響対象

Django利用者

補足

  • -同日に複数のDjango SQLインジェクション修正がリリースされています。まとめてアップデートすることを推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

D
Django のリリース情報 →
CVEDjangoSQLインジェクションPython

概要

Django の FilteredRelation にSQLインジェクションの脆弱性が存在します。カラムエイリアスに制御文字を含む辞書を **kwargs として QuerySet.annotate()aggregate()extra()values()values_list()alias() に渡すことで、SQLインジェクションが可能です。Django 6.0.2 / 5.2.11 / 4.2.28で修正されています。

CVSSベクトル

項目
CVSSスコアCVSS v4 Critical
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
CWECWE-89(SQLインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
DjangoDjango Software Foundation6.0〜6.0.1, 5.2〜5.2.10, 4.2〜4.2.27

修正バージョンと回避策

  • 修正: Django 6.0.2 / 5.2.11 / 4.2.28
  • 回避策: 外部入力をFilteredRelationのカラムエイリアスに直接渡さないようにする

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-1207Django RasterField SQLインジェクションCVSS 9.4CVE-2025-64459Django _connector経由SQLインジェクションCVSS 9.1CVE-2025-59681Django カラムエイリアスSQLインジェクションCVSS 7.6CVE-2025-57833Django FilteredRelationカラムエイリアスSQLインジェクションCVSS 7.6

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-1287
GHSA:https://github.com/advisories/GHSA-gvg8-93h5-g6qq
Django:https://docs.djangoproject.com/en/dev/releases/security/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。