当前位置:首页 > 漏洞预警 > 正文

Django JSONField HStoreField SQL 注入漏洞(CVE-2019-14234)

发布时间:2019-08-03 20:32:48,来源:中国信息通信研究院

安全漏洞通告

类型:SQL 注入漏洞

影响范围:Django

危害级别:高危

内容概述

Django   JSONField/HStoreField 存在SQL 注入漏洞。CVE编号:CVE-2019-14234。

受影响版本:

Django 主开发分支

Django   2.2.x < 2.2.4

Django   2.1.x < 2.1.11

Django 1.11.x   < 1.11.23

详细说明

Django 是一个开放源代码的 Web 应用框架,由 Python 写成,目前是 Python Web 开发里使用最广泛的框架之一。

当使用用户可控的数据作为参数,以 **kwargs 的形式传入 QuerySet.filter() 函数,对 django.contrib.postgres.fields.JSONField 进行键/索引查找,或对   django.contrib.postgres.fields.HStoreField 进行键查找时,将会导致 SQL 注入。

某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。某些华为智能手机上的安全键盘功能存在信息泄露漏洞。该功能没有正确地限制某些系统特权,攻击者诱使用户安装恶意应用程序,可导致用户使用安全键盘输入的信息泄露。

处理方法和建议

1、漏洞修复建议:

目前官方已发布更新,更新 Django 至以下对应版本:

Django   2.2.4

Django   2.1.11

Django   1.11.23

2、参考链接:

https://www.djangoproject.com/weblog/2019/aug/01/security-releases/