【漏洞通告】Django SQL注入漏洞安全风险通告

近日，嘉诚安全监测到Django项目发布安全公告，修复了Django中的一个SQL注入漏洞，漏洞编号为：CVE-2024-42005。

Django是一个基于Python的开源Web应用框架。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞。在Django多个受影响版本中，当使用QuerySet.values()或values_list()方法从数据库中提取数据，并且模型中包含JSONField字段类型时，攻击者可以通过传递特制JSON对象键（这些键名在生成的SQL查询中可能会被用作列别名）作为参数（*args）执行SQL注入攻击，成功利用该漏洞可能导致执行任意SQL命令，从而访问、修改或删除数据库中的数据。

影响版本：

5.0 <= Django < 5.0.8

4.2 <= Django < 4.2.15

目前该漏洞已经修复，受影响用户可升级到以下版本：

Django 5.0分支版本 >= 5.0.8

Django 4.2分支版本 >= 4.2.15

下载链接：

https://www.djangoproject.com/download/

参考链接：

https://www.djangoproject.com/weblog/2024/aug/06/security-releases/

https://nvd.nist.gov/vuln/detail/CVE-2024-42005