聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是存在于 Django 主分支4.1(目前处于测试)、4.0和3.2中的一个SQL注入漏洞,目前已修复。
数万个网站,其中包括美国的很多流行品牌,选择 Django 作为 Model-Template-View 框架,而这就是为何需要升级或修复Django实例非常重要的原因所在。
Django 团队发布版本4.0.6和3.2.14 解决了该高危SQL漏洞,并督促开发人员尽快升级或修复 Django 实例。该漏洞可导致攻击者通过向 Trune(kind) 和 Extract (lookup_name) 函数的参数攻击 Django web 应用。
Django 发布安全公告指出,“如果将不受信任数据用作kind/lookup_Name 值,则Trunc() 和 Extract() 数据库函数受SQL注入漏洞影响。将lookup name 和 kind 选择先知道已知的安全列表的应用程序不受影响。”换句话说,如果应用程序在将这些参数传递给 Trunc 和 Extract 函数之前执行了某种输入清理或逃逸,则不受影响。
该漏洞是由 Aeye安全实验室的研究员 Takuto Yoshikai 发现并报告的。
对于无法升级到已修复Django 版本4.0.6或3.2.14的用户,Django 团队已推出可应用到已有的受影响版本的补丁。
Django 团队表示,虽然安全发布缓解了该漏洞,但发现可以改进 Database API 方法。这种情况将影响使用 Django 4.1 发布候选版本1或更新版本的第三方数据库后端,更新至API变更之后才会解决。
Django 的安全策略指出,可向[email protected] 反馈遇到的任何潜在安全问题。
https://www.bleepingcomputer.com/news/security/django-fixes-sql-injection-vulnerability-in-new-releases/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Django 修复SQL注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论