Django QuerySet.order_by SQL注入漏洞（CVE-2021-35042）-CFANZ编程社区

Django QuerySet.order_by SQL注入漏洞（CVE-2021-35042）

醉倾城1

阅读 35

2023-12-01

漏洞描述

Django 于 2021年7月1日发布了一个安全更新，修复了函数QuerySet.order_by中的 SQL 注入漏洞。

参考链接：

Django security releases issued: 3.2.5 and 3.1.13 | Weblog | Django

该漏洞需要开发人员使用order_by功能。此外，还可以控制查询集的输入。

漏洞环境及利用

搭建docker环境

payload

相关推荐
向上的萝卜白菜
 Django SQL注入漏洞复现 （CVE-2022-28347）
向上的萝卜白菜 93 0 0
young_d807
 Cacti SQL注入漏洞分析（CVE-2023-51448）
young_d807 24 0 0
寒羽鹿
 CVE-2020-9483 apache skywalking SQL注入漏洞
寒羽鹿 43 0 0
一条咸鱼的干货
 Cisco命令注入漏洞CVE-2021-1414分析
一条咸鱼的干货 55 0 0
写心之所想
 Oracle SQL 注入上的 Django GIS 函数和聚合漏洞 （CVE-2020-9402）
写心之所想 44 0 0
程序小小黑
 【vluhub】log4j注入漏洞 CVE-2021-44228
程序小小黑 28 0 0
楚木巽
 Django JSONField SQL注入漏洞 复现 & 原理分析
楚木巽 65 0 0
浮游图灵
 Zabbix latest.php SQL注入漏洞（CVE-2016-10134）
浮游图灵 75 0 0
斗米
 XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)
斗米 16 0 0
悄然丝语
 SQL注入漏洞
悄然丝语 64 0 0

精彩评论（0）