Django SQL 注入误差(CVE-2021-35042)

宣布时间 2021-07-06

0x00 误差概述

CVE     ID

CVE-2021-35042

时      间

2021-07-06

类      型

SQL注入

等      级

高危

远程使用

影响规模


攻击重漂后


可用性

用户交互

所需权限


PoC/EXP

未果真

在野使用

 

0x01 误差详情

image.png

Django 是 Python 语言驱动的一个开源模子-视图-控制器(MVC)气概的 Web 应用程序框架。 。。。

2021年07月01日,,,Django 宣布了3.2.5 和 3.1.13版本,,,修复了Django中的一个SQL注入误差(CVE-2021-35042),,,Django建议用户尽快升级。 。。。

由于转达给QuerySet.order_by()的用户输入未经处置惩罚,,,攻击者可以使用这绕过标记为弃用的路径中的预期列引用验证,,,从而导致SQL注入。 。。。

 

影响规模

Django  3.2

Django  3.1

 

0x02 处置惩罚建议

 现在此误差已经修复,,,建议实时升级至Django 3.2.5 或 3.1.13。 。。。

Django 3.2.5下载链接:

https://www.djangoproject.com/m/releases/3.2/Django-3.2.5.tar.gz

 

Django 3.1.13下载链接:

https://www.djangoproject.com/m/releases/3.1/Django-3.1.13.tar.gz

 

0x03 参考链接

https://www.djangoproject.com/weblog/2021/jul/01/security-releases/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35042

https://nvd.nist.gov/vuln/detail/CVE-2021-35042

 

0x04 时间线

2021-07-01  Django宣布更新通告

2021-07-06  VSRC宣布清静通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

image.png