Django SQL 注入漏洞(CVE-2021-35042)
发布时间 2021-07-060x00 漏洞概述
CVE ID | CVE-2021-35042 | 时 间 | 2021-07-06 |
类 型 | SQL注入 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 可用性 | 高 | |
用户交互 | 无 | 所需权限 | |
PoC/EXP | 未公开 | 在野利用 | 否 |
0x01 漏洞详情
Django 是 Python 语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架。
2021年07月01日,Django 发布了3.2.5 和 3.1.13版本,修复了Django中的一个SQL注入漏洞(CVE-2021-35042),Django建议用户尽快升级。
由于传递给QuerySet.order_by()的用户输入未经处理,攻击者可以利用这绕过标记为弃用的路径中的预期列引用验证,从而导致SQL注入。
影响范围
Django 3.2
Django 3.1
0x02 处置建议
目前此漏洞已经修复,建议及时升级至Django 3.2.5 或 3.1.13。
Django 3.2.5下载链接:
https://www.djangoproject.com/m/releases/3.2/Django-3.2.5.tar.gz
Django 3.1.13下载链接:
https://www.djangoproject.com/m/releases/3.1/Django-3.1.13.tar.gz
0x03 参考链接
https://www.djangoproject.com/weblog/2021/jul/01/security-releases/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35042
https://nvd.nist.gov/vuln/detail/CVE-2021-35042
0x04 时间线
2021-07-01 Django发布更新公告
2021-07-06 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号