Django 修复SQL注入漏洞

发布于 作者:

Django 修复SQL注入漏洞

Ax Sharma 代码卫士 2022-07-05 18:05

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Django 项目是基于 Python 的开源 web框架,近期它修复了位于最新版本中的一个高危漏洞CVE-2022-34265。

该漏洞是存在于 Django 主分支4.1(目前处于测试)、4.0和3.2中的一个SQL注入漏洞,目前已修复。

数万个网站,其中包括美国的很多流行品牌,选择 Django 作为 Model-Template-View 框架,而这就是为何需要升级或修复Django实例非常重要的原因所在。

新版本缓解潜在的SQL注入漏洞

Django 团队发布版本4.0.6和3.2.14 解决了该高危SQL漏洞,并督促开发人员尽快升级或修复 Django 实例。该漏洞可导致攻击者通过向 Trune(kind) 和 Extract (lookup_name) 函数的参数攻击 Django web 应用。

Django 发布安全公告指出,“如果将不受信任数据用作kind/lookup_Name 值,则Trunc() 和 Extract() 数据库函数受SQL注入漏洞影响。将lookup name 和 kind 选择先知道已知的安全列表的应用程序不受影响。”换句话说,如果应用程序在将这些参数传递给 Trunc 和 Extract 函数之前执行了某种输入清理或逃逸,则不受影响。

该漏洞是由 Aeye安全实验室的研究员 Takuto Yoshikai 发现并报告的。

补丁已发布

对于无法升级到已修复Django 版本4.0.6或3.2.14的用户,Django 团队已推出可应用到已有的受影响版本的补丁。

Django 团队表示,虽然安全发布缓解了该漏洞,但发现可以改进 Database API 方法。这种情况将影响使用 Django 4.1 发布候选版本1或更新版本的第三方数据库后端,更新至API变更之后才会解决。

Django 的安全策略指出,可向[email protected] 反馈遇到的任何潜在安全问题。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:
https://oss.qianxin.com

推荐阅读

多款 Django 应用配置不当  泄露API 密钥数据库密码等

史无前例:微软 SQL Server 被黑客组织安上了后门 skip-2.0(来看技术详情)

Sophos 修复 Cyberoam OS 中的 SQL 注入漏洞

看我如何绕过Cloudflare 的 SQL 注入过滤

看我如何在星巴克企业数据库找到影响百万用户的SQL注入漏洞并赢得最高赏金

【缺陷周话】第 2 期 :SQL 注入

原文链接

https://www.bleepingcomputer.com/news/security/django-fixes-sql-injection-vulnerability-in-new-releases/

题图:
Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~