본문 바로가기

Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

Django 2.2.3

License 관리자 게시글 작성 시각 2021-01-22 09:15:23 게시글 조회수 2113
컴포넌트 명 : Django
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
2.2.3 CVE-2019-14234 2019/08/28 7.5 (High)
취약점 ID : CVE-2019-14234
취약점 상세정보
취약점 설명 An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.

1.11.23 이전의 1.11.x 버전, 2.1.11 이전의 2.1.x 버전, 2.2.4 이전의 2.2.x 버전의 Django에서 문제가 발견되었습니다. shallow 키 변환의 오류로 인해, django.contrib.postgres.fields.JSONField에 대한 키 및 인덱스 조회와 django.contrib.postgres.fields.HStoreField에 대한 키 조회가 SQL 주입의 대상이되었습니다. 예를 들어, **kwargs가 QuerySet.filter() 함수로 전달 될 때 처럼 사전 확장과 함께 적절하게 조작된 사전을 사용함으로써 모든 레코드를 반환하기 위해 키나 인덱스명에 "OR 1=1"의 조작된 사용으로 악용 될 수 있다.
대응 방안 1.11.23 이상 버전으로 업데이트 (1.11 버전)
2.1.11 이상 버전으로 업데이트 (2.1 버전)
2.2.4 이상 버전으로 업데이트 (2.2 버전)
기타 -

-

공개SW 보안취약점 - 번호, 컴포넌트 명 및 버전, 취약점ID, 심각도, 취약점 최종보고일, 대응방안
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
143 WordPress 3.4.0 CVE-2020-35942 6.8 (Medium) 2021/02/12 대응방안보기
142 Linux Kernel 5.11.0 CVE-2021-27364 3.6 (Low) 2021/03/20 대응방안보기
141 parsejson 0.0.2 CVE-2017-16113 5.0 (Medium) 2019/10/09 대응방안보기
140 SockJS 0.2.1 CVE-2020-8823 4.3 (Medium) 2021/01/12 대응방안보기
139 jQuery 1.8.2 CVE-2020-11023 4.3 (Medium) 2020/12/08 대응방안보기
138 jQuery 1.4.2 CVE-2007-2379 5.0 (Medium) 2019/04/16 대응방안보기
137 Strapi 3.0.0-alpha.4 CVE-2019-19609 9.0 (Critical) 2019/12/18 대응방안보기
136 Django 2.2.3 CVE-2019-14234 7.5 (High) 2019/08/28 대응방안보기
135 Django 2.2.3 CVE-2020-7471 7.5 (High) 2020/06/18 대응방안보기
134 Nanopb 0.3.9 CVE-2020-5235 7.5 (High) 2020/02/06 대응방안보기
맨 위로
맨 위로