CVE-2024-53908|Django Oracle SQL注入漏洞

发布于 作者:

CVE-2024-53908|Django Oracle SQL注入漏洞

alicy 信安百科 2024-12-07 11:00

0x00 前言

Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费的解决方案。

0x01 漏洞描述

Django应用使用Oracle数据库作为后端时,当Django应用中的django.db.models.fields.json.HasKey查找功能被直接用于Oracle数据库,并且其左侧参数(lhs)包含不受信任的数据时,可能会导致SQL注入攻击,攻击者可通过注入恶意SQL代码来攻击数据库,从而可能导致敏感数据泄露、数据篡改或数据库被恶意控制。

0x02 CVE编号

CVE-2024-53908

0x03 影响版本 

Django 5.1 < 5.1.4
Django 5.0 < 5.0.10
Django 4.2 < 4.2.17

0x04 漏洞详情

https://www.openwall.com/lists/oss-security/2024/12/04/3

0x05 参考链接

https://www.djangoproject.com/weblog/2024/dec/04/security-releases/

https://www.openwall.com/lists/oss-security/2024/12/04/3

推荐阅读:

CVE-2024-48307|JeecgBoot SQL 注入漏洞(POC)

CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC)

CVE-2024-45519|Zimbra未授权远程命令执行漏洞

Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持

!!!

本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。