CVE-2019-14234:Django JSONField/HstoreField SQL注入漏洞警报
最近,Django正式发布了一个安全公告,宣布三个漏洞。 高风险漏洞是CVE-2019-14234,JSONField/HStoreField的密钥和索引查找中的SQL注入可能性。
远程攻击者可以向受影响的应用程序发送精心设计的字典,在django.contrib.postgres.fields.JSONField上执行键/索引查找时,以** kwargs的形式将其传递给QuerySet.filter(),或者 对于django.contrib.postgres.fields.HStoreField,执行密钥查找时可能会发生SQL注入。 成功利用此漏洞可能允许远程攻击者读取,删除和修改数据库中的数据。
受影响的版本
- Django master开发分支
- Django 2.2 before version 2.2.4
- Django 2.1 before version 2.1.11
- Django 1.11 before version 1.11.23
未受影响的版本
- Django 2.2.4
- Django 2.1.11
- Django 1.11.23
解决方法:
Django正式发布了一个新版本来修复这些漏洞,请受影响的用户尽快升级Django。