Проблема была обнаружена в версиях 6.0 до 6.0.2, 5.2 до 5.2.11 и 4.2 до 4.2.28. Поиск растров в RasterField (реализован только в PostGIS) позволяет удаленным злоумышленникам внедрить SQL через параметр индекса полосы. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты. Джанго хотел бы поблагодарить Тарека Наккоуча за сообщение об этой проблеме.
Показать оригинальное описание (английский)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. Raster lookups on ``RasterField`` (only implemented on PostGIS) allows remote attackers to inject SQL via the band index parameter. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Tarek Nakkouch for reporting this issue.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
4.2 | 4.2.28 |
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
5.2 | 5.2.11 |
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
6.0 | 6.0.2 |