Проблема была обнаружена в версиях 6.0 до 6.0.2, 5.2 до 5.2.11 и 4.2 до 4.2.28. Поиск растров в RasterField (реализован только в PostGIS) позволяет удаленным злоумышленникам внедрить SQL через параметр индекса полосы. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Джанго хотел бы поблагодарить Тарека Наккоуча за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. Raster lookups on ``RasterField`` (only implemented on PostGIS) allows remote attackers to inject SQL via the band index parameter. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Tarek Nakkouch for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
4.2
|
4.2.28
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
5.2
|
5.2.11
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
6.0
|
6.0.2
|