手机版
你好,游客 登录 注册
背景:
阅读新闻

CVE-2019-14234:Django JSONField/HstoreField SQL注入漏洞警报

[日期:2019-08-06] 来源:Linux公社  作者:醉落红尘 [字体: ]

最近,Django正式发布了一个安全公告,宣布三个漏洞。 高风险漏洞是CVE-2019-14234,JSONField/HStoreField的密钥和索引查找中的SQL注入可能性。

远程攻击者可以向受影响的应用程序发送精心设计的字典,在django.contrib.postgres.fields.JSONField上执行键/索引查找时,以** kwargs的形式将其传递给QuerySet.filter(),或者 对于django.contrib.postgres.fields.HStoreField,执行密钥查找时可能会发生SQL注入。 成功利用此漏洞可能允许远程攻击者读取,删除和修改数据库中的数据。

受影响的版本

  • Django master开发分支
  • Django 2.2 before version 2.2.4
  • Django 2.1 before version 2.1.11
  • Django 1.11 before version 1.11.23

未受影响的版本

  • Django 2.2.4
  • Django 2.1.11
  • Django 1.11.23

解决方法:

Django正式发布了一个新版本来修复这些漏洞,请受影响的用户尽快升级Django。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-08/159864.htm

linux
相关资讯       CVE-2019-14234 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款