Cabecera-v2-web.jpg

Vulnerabilidades de inyección SQL en Django


11/04/2022

Django ha reportado 2 vulnerabilidades de inyección SQL, que permitirían a un atacante remoto ejecutar o realizar consultas SQL arbitrarias en la base de datos.


Las vulnerabilidades reportadas se componen de 2 (dos) de severidad Alta. Que se detallan a continuación:

  • CVE-2022-28346 de severidad alta, con una puntuación asignada de 7.9. Esta vulnerabilidad se debe a una falla en el control de los datos proporcionados por el usuario dentro de los métodos QuerySet.annotate(), aggregate() y extra(). Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar consultas SQL arbitrarias en la base de datos.
  • CVE-2022-28347 de severidad alta, con una puntuación asignada de 7.9. Esta vulnerabilidad se debe a una falla en el control de los datos proporcionados por el usuario dentro del método QuerySet.explain(). Un atacante remoto podría aprovechar esta vulnerabilidad para enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.

Los productos afectados son:

  • Django versión 4.0 a la versión 4.0.3.
  • Django versión 3.0 a la versión 3.2.12.
  • Django versión 2.2 a la versión 2.2.27.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11