一、漏洞详情
Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。
近日,监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate()或QuerySet.alias()的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
4.2 <= Django < 4.2.24
5.1 <= Django < 5.1.12
5.2 <= Django < 5.2.6
三、修复建议
已发布修复版本,请将Django升级到如下版本。
Django >= 4.2.24
Django >= 5.1.12
Django >= 5.2.6
