【安全通告】Django SQL注入漏洞风险通告(CVE-2021-35042)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Django发布安全更新,其中披露一个高危SQL注入漏洞,漏洞编号CVE-2021-35042。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Django是一个开放源代码的Web应用框架,由Python写成。
据公告中描述,该漏洞是由在传递给 QuerySet.order_by() 的时候,未经处理的用户输入可绕过验证导致。最终可造成SQL注入等危害。
风险等级
高
漏洞风险
攻击者可利用该漏洞进行SQL注入攻击
影响版本
Django < 3.2.5
Django < 3.1.13
安全版本
Django >= 3.2.5
Django >= 3.1.13
修复建议
Django官方已发布安全版本,腾讯云安全建议您尽快升级相关组件,避免影响业务。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://www.djangoproject.com/weblog/2021/jul/01/security-releases/