開源 Python 網路框架程式庫專案 Django,日前推出更新版本,修復一個嚴重資安漏洞 CVE-2022-34265,駭侵者可利用該漏洞來進行指令注入;由於使用 Django 的網站與網路應用程式多,用戶應立即更新以修補該漏洞。
CVE-2022-34265 由資安廠商 Aeye Security Lab 旗下的資安專家 Takuto Yoshikai 發現,漏洞係存於 Django 的主要分支、版本 4.1 beta、4.0 與 3.2 之中,該漏洞屬於 SQL 資料庫指令注入漏洞,駭侵者可透過傳入特定的 Trunc(kind) 和 Extract(lookup_name) 參數誘發此漏洞,並且注入指令進行攻擊。
該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級則為「嚴重」(Critical)等級。
不過 Django 表示,就算用戶採用的是有此漏洞的版本,如果用戶的網站與應用程式有針對 lookup name 與 kind 選擇進行輸入檢查限制,就可能不受此漏洞的影響,因為駭侵者將無法傳送惡意參數。
Django 於近日推出的 Django 4.0.6、Django 3.2.14,已將此 CVE-2022-34265 漏洞修補完成;另外針對主要分支、4.1、4.0、3.2 等舊版也推出修補工具。
由於採用 Django 框架開發的網站和網路應用程式非常多,如果有駭侵者大規模利用此漏洞發動攻擊,可能帶來很大的損失;因此採用 Django 的開發者與網站管理者,應對上線產品進行徹底檢查與必要的升級或修補,以避免遭到攻擊,造成損失。
- CVE編號:CVE-2022-34265
- 影響產品(版本):Django 的主要分支、版本 4.1 beta、4.0 與 3.2
- 解決方案:升級至 Django 4.0.6、Django 3.2.14 或套用修補工具
- 參考連結:
Django security releases issued: 4.0.6 and 3.2.14
https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
CVE-2022-34265
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34265
Django fixes SQL Injection vulnerability in new releases
留言列表