最近では、Djangoは正式にリリースされ、セキュリティ情報を3件の脆弱性を発表しました。高リスクの脆弱性CVE-2019から14234、JSONField / HStoreFieldキーとインデックスSQLインジェクションの可能性を見つけるために。
リモートの攻撃者が影響を受けるに慎重に設計された辞書アプリケーションを送信することができ、** kwargsからは)(QuerySet.filterに渡される形でdjango.contrib.postgres.fields.JSONField上のキー/索引参照の実装、またはdjango.contrib.postgres.fields.HStoreFieldのために、キーのルックアップを実行するときの注入が発生したSQLがあります。この脆弱性の悪用に成功すると、リモートの攻撃者は、データベース内のデータを読み取り、削除および変更する可能性があります。
影響を受けるバージョン
- Djangoのマスター開発ブランチ
- バージョン2.2.4の前にはDjango 2.2
- バージョン2.1.11の前にはDjango 2.1
- バージョン1.11.23の前にはDjango 1.11
影響を受けないバージョン
- ジャンゴ2.2.4
- ジャンゴ2.1.11
- ジャンゴ1.11.23
ソリューション:
Djangoは正式にこれらの脆弱性を修正するための新しいバージョンをリリースしているだろう、影響を受けたユーザーは、できるだけ早くアップグレードジャンゴください。