14234:Django JSONField/HstoreField SQL注入漏洞警报

最近,Django正式发布了一个安全公告,宣布三个漏洞。 高风险漏洞是CVE-2019-14234,JSONField/HStoreField的密钥和索引查找中的SQL注入可能性。

14234:Django JSONField/HstoreField SQL注入漏洞警报

远程攻击者可以向受影响的应用程序发送精心设计的字典,在django.contrib.postgres.fields.JSONField上执行键/索引查找时,以** kwargs的形式将其传递给QuerySet.filter(),或者 对于django.contrib.postgres.fields.HStoreField,执行密钥查找时可能会发生SQL注入。 成功利用此漏洞可能允许远程攻击者读取,删除和修改数据库中的数据。

受影响的版本

Django master开发分支

Django 2.2 before version 2.2.4

Django 2.1 before version 2.1.11

Django 1.11 before version 1.11.23

未受影响的版本

Django 2.2.4

Django 2.1.11

Django 1.11.23

解决方法:

Django正式发布了一个新版本来修复这些漏洞,请受影响的用户尽快升级Django。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/5ead92c9f2783eaa811bed8e9a71556e.html