最近では、Djangoは掲示板には潜在的なSQLインジェクションの脆弱性を発表し、セキュリティ情報をリリースしました(CVE-2020から7471)は、StringAgg(セパレータ)により、この脆弱性悪用されました。
攻撃者は、コンストラクタセパレータdjango.contrib.postgres.aggregates.StringAgg集約関数に、悪意のあるSQL文注入エスケープバイパスに渡すことができます。
影響を受けるバージョン
- Djangoのマスターブランチ
- Djangoの3.0
- Djangoの2.2
- ジャンゴ1.11
ソリューション
Djangoは正式にオリジナルの修正上記の脆弱性の新しいバージョンをリリースしました。影響を受けるユーザーは、できるだけ早くmasterブランチジャンゴと3.0,2.2と1.11バージョンブランチに更新されます
ピップは、Djangoにインストールした場合は、次のコマンドを使用して操作することができます。