【漏洞预警】Django SQL注入漏洞(CVE-2022-28347)

 01


漏洞描述





Django是一个开放
源代码Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。这套框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的。2019年12月2日,Django3. 0发布
Django 2.2.28 版本之前的 2.2 版本、3.2.13 版本之前的3.2 版本、4.0.4 版本之前的 4.0 版本存在SQL注入漏洞,该漏洞源于QuerySet.explain() 中发现了SQL注入问题。

 02

漏洞危害


2.2.28 之前的 Django 2.23.2.13 之前的 3.2 4.0.4 之前的 4.0 QuerySet.explain() 中发现了 SQL 注入问题。这通过将精心制作的字典(带有字典扩展)作为 **options 参数传递,并将注入有效负载放在选项名称中来实现。

 03

影响范围





Django Django >=2.2,<2.2.28
Django Django >=3.2,<3.2.13
Django Django >=4.0,<4.0.4


04

漏洞等级

   

高危

 06

修复方案


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.djangoproject.com/weblog/2022/apr/11/security-releases/












END

长按识别二维码,了解更多



免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐