Django JSONField HStoreField SQL 注入漏洞（CVE-2019-14234）

类型：SQL 注入漏洞

影响范围：Django

危害级别：高危

内容概述

Django   JSONField/HStoreField 存在SQL 注入漏洞。CVE编号：CVE-2019-14234。

受影响版本：

Django 主开发分支

Django   2.2.x < 2.2.4

Django   2.1.x < 2.1.11

Django 1.11.x   < 1.11.23

详细说明

Django 是一个开放源代码的 Web 应用框架，由 Python 写成，目前是 Python Web 开发里使用最广泛的框架之一。

当使用用户可控的数据作为参数，以 **kwargs 的形式传入 QuerySet.filter() 函数，对 django.contrib.postgres.fields.JSONField 进行键/索引查找，或对   django.contrib.postgres.fields.HStoreField 进行键查找时，将会导致 SQL 注入。

某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权，攻击者诱使用户安装恶意应用程序，可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权，攻击者诱使用户安装恶意应用程序，可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权，攻击者诱使用户安装恶意应用程序，可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权，攻击者诱使用户安装恶意应用程序，可导致用户使用安全键盘输入的信息泄露。

处理方法和建议

1、漏洞修复建议：

目前官方已发布更新，更新 Django 至以下对应版本：

Django   2.2.4

Django   2.1.11

Django   1.11.23

2、参考链接：

https://www.djangoproject.com/weblog/2019/aug/01/security-releases/