close

Django 修復可用以注入指令的嚴重資安漏洞

開源 Python 網路框架程式庫專案 Django,日前推出更新版本,修復一個嚴重資安漏洞 CVE-2022-34265,駭侵者可利用該漏洞來進行指令注入;由於使用 Django 的網站與網路應用程式多,用戶應立即更新以修補該漏洞。

CVE-2022-34265 由資安廠商 Aeye Security Lab 旗下的資安專家 Takuto Yoshikai 發現,漏洞係存於 Django 的主要分支、版本 4.1 beta、4.0 與 3.2 之中,該漏洞屬於 SQL 資料庫指令注入漏洞,駭侵者可透過傳入特定的 Trunc(kind) 和 Extract(lookup_name) 參數誘發此漏洞,並且注入指令進行攻擊。

該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級則為「嚴重」(Critical)等級。

不過 Django 表示,就算用戶採用的是有此漏洞的版本,如果用戶的網站與應用程式有針對 lookup name 與 kind 選擇進行輸入檢查限制,就可能不受此漏洞的影響,因為駭侵者將無法傳送惡意參數。

Django 於近日推出的 Django 4.0.6、Django 3.2.14,已將此 CVE-2022-34265 漏洞修補完成;另外針對主要分支、4.1、4.0、3.2 等舊版也推出修補工具。

由於採用 Django 框架開發的網站和網路應用程式非常多,如果有駭侵者大規模利用此漏洞發動攻擊,可能帶來很大的損失;因此採用 Django 的開發者與網站管理者,應對上線產品進行徹底檢查與必要的升級或修補,以避免遭到攻擊,造成損失。

  • CVE編號:CVE-2022-34265
  • 影響產品(版本):Django 的主要分支、版本 4.1 beta、4.0 與 3.2
  • 解決方案:升級至 Django 4.0.6、Django 3.2.14 或套用修補工具

  • 參考連結:

Django security releases issued: 4.0.6 and 3.2.14

https://www.djangoproject.com/weblog/2022/jul/04/security-releases/

CVE-2022-34265

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34265

Django fixes SQL Injection vulnerability in new releases

https://www.bleepingcomputer.com/news/security/django-fixes-sql-injection-vulnerability-in-new-releases/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()