首頁 > 安全研究 > 安全通報 > 安全通告

Django SQL 注入漏洞(CVE-2021-35042)

發布時間 2021-07-06

0x00 漏洞概述

CVE     ID

CVE-2021-35042

時      間

2021-07-06

類      型

SQL注入

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性

用戶交互

所需權限


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

Django 是 Python 語言驅動的一個開源模型-視圖-控制器(MVC)風格的 Web 應用程序框架。

2021年07月01日,Django 發布了3.2.5 和 3.1.13版本,修復了Django中的一個SQL注入漏洞(CVE-2021-35042),Django建議用戶盡快升級。

由于傳遞給QuerySet.order_by()的用戶輸入未經處理,攻擊者可以利用這繞過標記為棄用的路徑中的預期列引用驗證,從而導致SQL注入。

 

影響范圍

Django  3.2

Django  3.1

 

0x02 處置建議

 目前此漏洞已經修復,建議及時升級至Django 3.2.5 或 3.1.13。

Django 3.2.5下載鏈接:

https://www.djangoproject.com/m/releases/3.2/Django-3.2.5.tar.gz

 

Django 3.1.13下載鏈接:

https://www.djangoproject.com/m/releases/3.1/Django-3.1.13.tar.gz

 

0x03 參考鏈接

https://www.djangoproject.com/weblog/2021/jul/01/security-releases/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35042

https://nvd.nist.gov/vuln/detail/CVE-2021-35042

 

0x04 時間線

2021-07-01  Django發布更新公告

2021-07-06  VSRC發布安全通告

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇