高危 | Django存在两个SQL注入漏洞
0x01、漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02、漏洞描述
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
2022年4月11日,Django发布安全公告,修复了两个存在于Django中的高危漏洞。漏洞详情如下:
1. Django SQL注入漏洞
Django SQL注入漏洞 漏洞编号 CVE-2022-28346 漏洞类型 SQL注入 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 使用精心编制的字典, 通过**kwargs传递给QuerySet.annotate()、aggregate()和extra()这些方法,可导致这些方法在列别名中受到SQL 注入攻击。 |
2. Django SQL注入漏洞
Django SQL注入漏洞 漏洞编号 CVE-2022-28347 漏洞类型 SQL注入 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 使用精心编制的字典,作为**options参数,可导致QuerySet.explain()方法在选项名称中受到 SQL 注入攻击。 |
0x03、漏洞等级
高危
0x04、影响版本
4.0 <= Django < 4.0.4
3.2 <= Django < 3.2.13
2.2 <= Django < 2.2.28
0x05、修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
①Django4.0.4
https://www.djangoproject.com/m/releases/4.0/Django-4.0.4.tar.gz
②Django3.2.13
https://www.djangoproject.com/m/releases/3.2/Django-3.2.13.tar.gz
③Django2.2.28
https://www.djangoproject.com/m/releases/2.2/Django-2.2.28.tar.gz
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
