【网络安全预警】Django JSONField HStoreField SQL 注入漏
作者:
普洱IT网
【
转载
】
来源:
斗象智能安全平台
2019-08-02
普洱IT网,您身边的IT小顾问!
一
前言
Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件,并于2005年7月在BSD许可证下发布。
二
漏洞简介
Django 在2019年8月2日进行了安全补丁更新, 修复了4个CVE, 其中包含一个SQL注入漏洞。
三
漏洞危害
攻击者可以通过精心构造的请求包攻击使用了脆弱版本Django框架的服务器,攻击成功将会导致SQL注入漏洞,泄露网站数据信息。
四
影响范围
产品
Django
版本
Django 2.2.x < 2.2.4
Django 2.1.x < 2.1.11
Django 1.11.x < 1.11.23
版本
Django
五
漏洞复现
暂无
六
修复方案
1、升级Django版本到2.2.4,2.1.11,1.11.23
2、WAF中添加拦截SQL攻击的规则
七
参考
https://www.djangoproject.com/weblog/2019/aug/01/security-releases/
【互-动】
来一起聊一聊‘Django JSONField,HStoreField SQL 注入漏洞’?
↓↓↓
在评论区写下你的留言吧!
推荐
-
-
QQ空间
-
新浪微博
-
人人网
-
豆瓣
