首頁 > 安全研究 > 安全通報 > 安全通告

Django JSONField/HStoreField SQL注入漏洞安全通告

發布時間 2019-08-02

? 漏洞編號和級別


CVE編號:CVE-2019-14234,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


Django 主開發分支

Django 2.2.x < 2.2.4
Django 2.1.x < 2.1.11

Django 1.11.x < 1.11.23


漏洞概述


Django 是一個開放源代碼的Web應用框架,由Python寫成,目前是Python Web 開發里使用最廣泛的框架之一。


8月1日,Django 官方發布更新,其中修復了一個存在于框架中的SQL注入漏洞風險(CVE-2019-14234)。


當使用用戶可控的數據作為參數,以**kwargs的形式傳入QuerySet.filter()函數,對django.contrib.postgres.fields.JSONField進行鍵/索引查找,或對django.contrib.postgres.fields.HStoreField進行鍵查找時,將會導致SQL注入。 


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,請更新 Django 至以下對應版本:


Django 2.2.4
Django 2.1.11

Django 1.11.23


參考鏈接


https://www.djangoproject.com/weblog/2019/aug/01/security-releases/


上一篇 下一篇