一、 漏洞 CVE-2019-14234 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Django 1.11.x 之前版本1.11.23、2.1.x 之前版本2.1.11 和 2.2.x 之前版本2.2.4 中发现了一个问题。由于 shallow key 转换的错误,对django.contrib.postgres.fields.JSONField 和 django.contrib.postgres.fields.HStoreField 的键和索引查找操作可能导致 SQL 注入。例如,可以通过在键或索引名称中使用 "OR 1=1" 来返回所有记录,使用适当构造的字典,并使用字典扩展作为 QuerySet.filter() 函数的**kwargs参数进行调用。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 2.2.4之前的2.2版本、2.1.11之前的2.1版本和1.11.23之前的1.11版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-14234 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | POC-Django JSONField/HStoreField SQL Injection Vulnerability (CVE-2019-14234) | https://github.com/malvika-thakur/CVE-2019-14234 | POC详情 |
三、漏洞 CVE-2019-14234 的情报信息
-
标题: Archive of security issues | Django documentation | Django -- 🔗来源链接
标签: x_refsource_MISC
- https://groups.google.com/forum/#%21topic/django-announce/jIoju2-KLDs x_refsource_MISC
- https://www.djangoproject.com/weblog/2019/aug/01/security-releases/ x_refsource_CONFIRM
- https://security.netapp.com/advisory/ntap-20190828-0002/ x_refsource_CONFIRM
- https://www.debian.org/security/2019/dsa-4498 vendor-advisory x_refsource_DEBIAN
- https://security.gentoo.org/glsa/202004-17 vendor-advisory x_refsource_GENTOO
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00025.html vendor-advisory x_refsource_SUSE
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/ vendor-advisory x_refsource_FEDORA
- https://seclists.org/bugtraq/2019/Aug/15 mailing-list x_refsource_BUGTRAQ
- https://nvd.nist.gov/vuln/detail/CVE-2019-14234