发布时间:2019-08-03 20:32:48,来源:中国信息通信研究院
安全漏洞通告 |
类型:SQL 注入漏洞 影响范围:Django 危害级别:高危 |
内容概述 |
Django JSONField/HStoreField 存在SQL 注入漏洞。CVE编号:CVE-2019-14234。 受影响版本: Django 主开发分支 Django 2.2.x < 2.2.4 Django 2.1.x < 2.1.11 Django 1.11.x < 1.11.23 |
详细说明 |
Django 是一个开放源代码的 Web 应用框架,由 Python 写成,目前是 Python Web 开发里使用最广泛的框架之一。 当使用用户可控的数据作为参数,以 **kwargs 的形式传入 QuerySet.filter() 函数,对 django.contrib.postgres.fields.JSONField 进行键/索引查找,或对 django.contrib.postgres.fields.HStoreField 进行键查找时,将会导致 SQL 注入。 某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。 |
处理方法和建议 |
1、漏洞修复建议: 目前官方已发布更新,更新 Django 至以下对应版本: Django 2.2.4 Django 2.1.11 Django 1.11.23 2、参考链接: https://www.djangoproject.com/weblog/2019/aug/01/security-releases/ |