发布日期：2020-02-11
更新日期：2020-02-14

受影响系统：

Django Django 3.0 < 3.0.3
Django Django 2.2 < 2.2.10
Django Django 1.11 < 1.11.28

描述：

---

CVE(CAN) ID: CVE-2020-7471

Django是由Python编程语言驱动的一个开源Web应用程序框架。

Django 1.11、2.2、3.0、master分支，在 StringAgg(delimiter)的实现上存在SQL注入漏洞。攻击者通过传递构造的分隔符给contrib.postgres.aggregates.StringAgg实例，从而绕过转义并注入恶意SQL语句。

<*来源：Simon Charette
  *>

建议：

---

厂商补丁：

Django
------
Django 官方已经发布新版本修复了上述漏洞，请受影响的用户尽快升级进行防护。 Django 1.11.28下载地址：

https://www.djangoproject.com/m/releases/1.11/Django-1.11.28.tar.gz

Django 2.2.10 下载地址：

https://www.djangoproject.com/m/releases/2.2/Django-2.2.10.tar.gz

Django 3.0.3下载地址：

https://www.djangoproject.com/m/releases/3.0/Django-3.0.3.tar.gz

若使用 pip 安装 Django，可通过 –upgrade 或 -U 来实现此操作：

1 $ pip install -U Django
版本更新操作可参考下列链接：

https://docs.djangoproject.com/zh-hans/2.2/howto/upgrade-version

浏览次数：1579
严重程度：0（网友投票）