Django JSONField/HStoreField SQL注入漏洞安全通告

发布时间 2019-08-02

? 漏洞编号和级别


CVE编号:CVE-2019-14234,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


Django 主开发分支

Django 2.2.x < 2.2.4
Django 2.1.x < 2.1.11

Django 1.11.x < 1.11.23


漏洞概述


Django 是一个开放源代码的Web应用框架,由Python写成,目前是Python Web 开发里使用最广泛的框架之一。


8月1日,Django 官方发布更新,其中修复了一个存在于框架中的SQL注入漏洞风险(CVE-2019-14234)。


当使用用户可控的数据作为参数,以**kwargs的形式传入QuerySet.filter()函数,对django.contrib.postgres.fields.JSONField进行键/索引查找,或对django.contrib.postgres.fields.HStoreField进行键查找时,将会导致SQL注入。 


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,请更新 Django 至以下对应版本:


Django 2.2.4
Django 2.1.11

Django 1.11.23


参考链接


https://www.djangoproject.com/weblog/2019/aug/01/security-releases/