首页 > 清静研究 > 清静转达 > 清静通告

Django SQL注入误差危害通告

宣布时间 2020-02-13

误差编号和级别

CVE编号：CVE-2020-7471，，，危险级别：严重，，，CVSS分值：9.8

影响版本

Django 1.11.x < 1.11.28

Django 2.2.x < 2.2.10

Django 3.0.x < 3.0.3

Django 主开发分支

误差概述

Django是Django基金会的一套基于Python语言的开源Web应用框架。。。。。该框架包括面向工具的映射器、视图系统、模板系统等。。。。。

克日，，，Django官方宣布清静通告宣布了一个通过StringAgg（脱离符）实现使用的潜在SQL注入误差。。。。。攻击者可通过结构脱离符转达给聚合函数contrib.postgres.aggregates.StringAgg，，，从而绕过转义并注入恶意SQL语句。。。。。

相关用户可通过版本检测的要领判断目今应用是否保存危害。。。。。在下令行输入 python。。。。。然后在 Python 提醒符下输入下列下令，，，可审查目今Django版本信息。。。。。若Django版本在受影响规模内，，，且使用的数据库为PostgreSQL，，，则保存此误差的清静危害。。。。。

>>> import django

>>> django.get_version()

或者，，，此误差是由于聚合函数StringAgg导致，，，若Django版本在受影响规模内，，，且使用了该聚合函数，，，则可能保存清静危害。。。。。�？？？？？⒅霸笨勺孕信挪槭欠袷褂昧讼铝泻�。。。。。StringAgg函数，，，是PostgreSQL数据库中将表达式酿成字符串的聚合函数，，，可实现多行拼接，，，应用普遍。。。。。

django.contrib.postgres.aggregates.StringAgg。。。。。

误差验证

暂无POC/EXP。。。。。

修复建议

Django 官方已经宣布新版本修复了上述误差，，，请受影响的用户尽快升级举行防护。。。。。

Django 1.11.28下载地点：https://www.djangoproject.com/m/releases/1.11/Django-1.11.28.tar.gz

Django 2.2.10 下载地点：https://www.djangoproject.com/m/releases/2.2/Django-2.2.10.tar.gz

Django 3.0.3下载地点：https://www.djangoproject.com/m/releases/3.0/Django-3.0.3.tar.gz

若使用 pip 装置 Django，，，可通过 --upgrade 或 -U 来实现此操作：

$ pip install -U Django

版本更新操作可参考下列链接：

https://docs.djangoproject.com/zh-hans/2.2/howto/upgrade-version

参考链接

https://www.djangoproject.com/weblog/2020/feb/03/security-releases

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

Django SQL注入误差危害通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线