一、漏洞详情
Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。
近日,监测到一个影响Django ORM(对象关系映射)的SQL注入漏洞。具体存在于QuerySet的filter()、exclude()、get()方法以及Q类的使用中。当攻击者通过字典扩展方式传递一个精心构造的字典作为_connector关键字参数时,Django在构造SQL查询时未正确处理该输入,导致恶意SQL代码的注入。攻击者可以利用此漏洞绕过应用程序的SQL查询安全机制,执行未授权的数据库操作,可能导致敏感数据泄露、数据篡改或数据丢失。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Django < 5.1.14
Django < 4.2.26
Django < 5.2.8
早期不受支持的Django版本(如5.0.x、4.1.x、3.2.x)可能也受到影响,但未被正式评估
三、修复建议
官方已发布修复补丁,以修复该漏洞。
Django >= 5.1.14
Django >= 4.2.26
Django >= 5.2.8
Designed by