Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

Django 2.2.3

License 관리자 2021-01-22 09:15:23 305
컴포넌트 명 : Django
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
2.2.3 CVE-2019-14234 2019/08/28 7.5 (High)
취약점 ID : CVE-2019-14234
취약점 상세정보
취약점 설명 An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.

1.11.23 이전의 1.11.x 버전, 2.1.11 이전의 2.1.x 버전, 2.2.4 이전의 2.2.x 버전의 Django에서 문제가 발견되었습니다. shallow 키 변환의 오류로 인해, django.contrib.postgres.fields.JSONField에 대한 키 및 인덱스 조회와 django.contrib.postgres.fields.HStoreField에 대한 키 조회가 SQL 주입의 대상이되었습니다. 예를 들어, **kwargs가 QuerySet.filter() 함수로 전달 될 때 처럼 사전 확장과 함께 적절하게 조작된 사전을 사용함으로써 모든 레코드를 반환하기 위해 키나 인덱스명에 "OR 1=1"의 조작된 사용으로 악용 될 수 있다.
대응 방안 1.11.23 이상 버전으로 업데이트 (1.11 버전)
2.1.11 이상 버전으로 업데이트 (2.1 버전)
2.2.4 이상 버전으로 업데이트 (2.2 버전)
기타 -

-

공개SW 보안취약점 게시물 리스트 표
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
138 jQuery 1.4.2 CVE-2007-2379 5.0 (Medium) 2019/04/16
137 Strapi 3.0.0-alpha.4 CVE-2019-19609 9.0 (Critical) 2019/12/18
136 Django 2.2.3 CVE-2019-14234 7.5 (High) 2019/08/28
135 Django 2.2.3 CVE-2020-7471 7.5 (High) 2020/06/18
134 Nanopb 0.3.9 CVE-2020-5235 7.5 (High) 2020/02/06
133 pip 19.0.3 CVE-2019-20916 5.0 (Medium) 2020/10/04
132 ruamel-yaml 0.16.7 CVE-2019-20478 10.0 (Critical) 2020/02/27
131 Apache Hadoop 2.7.1 CVE-2018-8029 9.0 (Critical) 2020/02/27
130 Apache Hadoop 2.7.1 CVE-2016-6811 9.0 (Critical) 2018/05/10
129 rails 6.0.0.beta1 CVE-2019-5420 7.5 (High) 2019/10/09
맨 위로
맨 위로