专栏首页绿盟科技安全情报【威胁通告】Django SQL注入漏洞(CVE-2020-7471)威胁通告

【威胁通告】Django SQL注入漏洞(CVE-2020-7471)威胁通告

通告编号:NS-2020-0007

2020-02-12

TAG:

Django、SQL注入、CVE-2020-7471

漏洞危害:

攻击者利用此漏洞,可注入恶意SQL语句。

版本:

1.0

1

漏洞概述

2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。

Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架,起源于开源社区。使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序,应用广泛。2月11日,绿盟科技监测发现此漏洞PoC已公开,请相关用户尽快升级Django至修复版本,修复此漏洞。

CVSS3.1评分:9.8

参考链接:

https://www.djangoproject.com/weblog/2020/feb/03/security-releases

SEE MORE →

2影响范围

受影响版本

  • Django 1.11.x < 1.11.28
  • Django 2.2.x < 2.2.10
  • Django 3.0.x < 3.0.3
  • Django 主开发分支

不受影响产品版本

  • Django 1.11.28
  • Django 2.2.10
  • Django 3.0.3

3漏洞检测

3.1 版本检测

相关用户可通过版本检测的方法判断当前应用是否存在风险。

在命令行输入 python。 然后在 Python 提示符下输入下列命令,可查看当前Django版本信息:

>>> import django>>> django.get_version()

注:若Django版本在受影响范围内,且使用的数据库为PostgreSQL,则存在此漏洞的安全风险。

3.2 代码审计

此漏洞是由于聚合函数StringAgg导致,若Django版本在受影响范围内,且使用了该聚合函数,则可能存在安全风险。开发人员可自行排查是否使用了下列函数:

django.contrib.postgres.aggregates.StringAgg

PS:StringAgg函数,是PostgreSQL数据库中将表达式变成字符串的聚合函数,可实现多行拼接,应用广泛。

4漏洞防护

4.1 官方升级

Django 官方已经发布新版本修复了上述漏洞,请受影响的用户尽快升级进行防护。

Django 1.11.28下载地址:

https://www.djangoproject.com/m/releases/1.11/Django-1.11.28.tar.gz

Django 2.2.10 下载地址

https://www.djangoproject.com/m/releases/2.2/Django-2.2.10.tar.gz

Django 3.0.3下载地址:

https://www.djangoproject.com/m/releases/3.0/Django-3.0.3.tar.gz

若使用 pip 安装 Django,可通过 --upgrade 或 -U 来实现此操作:

$ pip install -U Django

版本更新操作可参考下列链接:

https://docs.djangoproject.com/zh-hans/2.2/howto/upgrade-version

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司 (简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟安全服务部

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Weblogic远程代码执行漏洞(CVE-2018-3245)处置建议

    北京时间10月17日凌晨,Oracle官方发布了10月份(第三季度)关键补丁更新CPU(Critical Patch Update),其中修复了一个7月份(第二...

    绿盟科技安全情报
  • 【漏洞预警】Apache Axis远程代码执行0day漏洞处置手册

    近日,绿盟科技安全团队通过全流量威胁分析平台(TAM)发现APACHE AXIS 远程命令执行漏洞,攻击者可通过发送精心构造的恶意 HTTP-POST 请求,获...

    绿盟科技安全情报
  • 【漏洞预警】Apache Axis远程代码执行漏洞处置手册

    近日,绿盟科技安全团队通过全流量威胁分析平台(TAM)发现Apache Axis远程命令执行漏洞,攻击者可通过发送精心构造的恶意 HTTP-POST 请求,获得...

    绿盟科技安全情报
  • 10个实用的Django建议

    Django 作为一个杰出的Python开源框架,或许得不到和其它流行框架如Rails这样多的赞美,但是它和其他框架一样精炼,非常注重DRY(Don’t Rep...

    小小科
  • Flask与Django的比较

    Flask确实很“轻”,不愧是Micro Framework,从Django转向Flask的开发者一定会如此感慨,除非二者均为深入使用过 Flask自由、灵活,...

    用户2398817
  • 为什么 Django 能持续统治 Python 开发世界

    对于 Python 开发者来说,web 开发框架真可谓玲琅满目。然而 Django , 毋庸置疑的成为最受青睐的 web 框架。通过本篇博客,我来为大家讲解下为...

    用户2337871
  • 无痛使用 Django+xAdmin+MongoDB

    前几天开始自己在做些日志的分析的小玩具,要分析手搜的用户访问情况,工具很简单,处理逻辑也很简单——从kafka拿nginx日志,然后处理完保存的数据库中,然后以...

    the5fire
  • Django 1.6.0 正式发布,大幅改进事务处理

    Django 项目是一个定制框架,它源自一个在线新闻 Web 站点,于 2005 年以开源的形式被释放出来。Django 框架的核心组件有:

    Hongten
  • Python中常用的一些架构

    在各种语言平台中,python涌现的web框架恐怕是最多的,是一个百花齐放的世界,各种micro-framework、framework不可胜数;猜想原因应该是...

    昱良
  • Django是否太重了

    接触Django差不多两年了,从一开始转到python就开始用Django做项目,到现在依然是在Django上开发CMS。Django算是个重量级框架吗?我在思...

    the5fire

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动