尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Django发布安全更新，其中披露一个高危SQL注入漏洞，漏洞编号CVE-2021-35042。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Django是一个开放源代码的Web应用框架，由Python写成。

据公告中描述，该漏洞是由在传递给 QuerySet.order_by() 的时候，未经处理的用户输入可绕过验证导致。最终可造成SQL注入等危害。

风险等级

高

漏洞风险

攻击者可利用该漏洞进行SQL注入攻击
 

影响版本

Django < 3.2.5

Django < 3.1.13

安全版本

Django >= 3.2.5

Django >= 3.1.13

修复建议

Django官方已发布安全版本，腾讯云安全建议您尽快升级相关组件，避免影响业务。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://www.djangoproject.com/weblog/2021/jul/01/security-releases/