前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CVE-2024-42005|Django SQL注入漏洞

CVE-2024-42005|Django SQL注入漏洞

作者头像
信安百科
发布2024-08-12 15:42:31
2270
发布2024-08-12 15:42:31
举报
文章被收录于专栏:信安百科

0x00 前言

Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费的解决方案。

0x01 漏洞描述

当使用 QuerySet.values() 或 values_list() 方法从数据库中提取数据,并且模型中包含JSONField 字段类型时,威胁者可以通过传递特制JSON 对象键(这些键名在生成的 SQL 查询中可能会被用作列别名)作为参数(*args)执行SQL 注入攻击,成功利用该漏洞可能导致执行任意SQL 命令,从而访问、修改或删除数据库中的数据。

0x02 CVE编号

CVE-2024-42005

0x03 影响版本

5.0 <= Django < 5.0.8

4.2 <= Django < 4.2.15

0x04 漏洞详情

https://www.djangoproject.com/weblog/2024/aug/06/security-releases/

https://seclists.org/oss-sec/2024/q3/146

0x05 参考链接

https://www.djangoproject.com/weblog/2024/aug/06/security-releases/

https://seclists.org/oss-sec/2024/q3/146

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-08-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安百科 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档