Django SQL注入漏洞
Django是一个开源的Web 应用框架,使用Python编写。
一、漏洞分析
公开日期:2021-07-10
漏洞编号:CNVD-2021-49046/CVE-2021-35042
危害等级:高危
漏洞描述:Django 3.2.5之前的3.2.x版本及3.1.13之前的3.1.x版本中存在SQL注入漏洞。该漏洞与代码缺陷有关。QuerySet.order_by()在处理传递过来的用户输入时未对数据进行严格验证。攻击者可通过传递特制数据绕过程序验证,造成SQL注入。
二、漏洞影响产品
Django Django 3.2.*,<3.2.5
三、漏洞处置建议
厂商已发布了漏洞修补程序,请及时关注更新:
https://www.djangoproject.com/weblog/2021/jul/01/security-releases/
