【漏洞预警】Django SQL注入漏洞(CVE-2022-28347)
01
漏洞描述
Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。这套框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的。2019年12月2日,Django3. 0发布。
Django 2.2.28 版本之前的 2.2 版本、3.2.13 版本之前的3.2 版本、4.0.4 版本之前的 4.0 版本存在SQL注入漏洞,该漏洞源于QuerySet.explain() 中发现了SQL注入问题。
02
漏洞危害
在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 的 QuerySet.explain() 中发现了 SQL 注入问题。这通过将精心制作的字典(带有字典扩展)作为 **options 参数传递,并将注入有效负载放在选项名称中来实现。
03
影响范围
Django Django >=2.2,<2.2.28
Django Django >=3.2,<3.2.13
Django Django >=4.0,<4.0.4
04
漏洞等级
高危
06
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.djangoproject.com/weblog/2022/apr/11/security-releases/
END