醉倾城1

关注

Django QuerySet.order_by SQL注入漏洞(CVE-2021-35042)

醉倾城1

关注

阅读 33

2023-12-01

漏洞描述

Django 于 2021年7月1日发布了一个安全更新,修复了函数QuerySet.order_by中的 SQL 注入漏洞。

参考链接:

  • Django security releases issued: 3.2.5 and 3.1.13 | Weblog | Django

该漏洞需要开发人员使用order_by功能。此外,还可以控制查询集的输入。

漏洞环境及利用

搭建docker环境

payload

 

相关推荐

向上的萝卜白菜

Django SQL注入漏洞复现 (CVE-2022-28347)

向上的萝卜白菜 92 0 0

young_d807

Cacti SQL注入漏洞分析(CVE-2023-51448)

young_d807 23 0 0

寒羽鹿

CVE-2020-9483 apache skywalking SQL注入漏洞

寒羽鹿 39 0 0

一条咸鱼的干货

Cisco命令注入漏洞CVE-2021-1414分析

一条咸鱼的干货 55 0 0

写心之所想

Oracle SQL 注入上的 Django GIS 函数和聚合漏洞 (CVE-2020-9402)

写心之所想 43 0 0

程序小小黑

【vluhub】log4j注入漏洞 CVE-2021-44228

程序小小黑 28 0 0

楚木巽

Django JSONField SQL注入漏洞 复现 & 原理分析

楚木巽 62 0 0

浮游图灵

Zabbix latest.php SQL注入漏洞(CVE-2016-10134)

浮游图灵 75 0 0

斗米

XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)

斗米 12 0 0

三分梦_0bc3

漏洞复现之Zabbix latest.php SQL注入漏洞(CVE-2016-10134)

三分梦_0bc3 195 0 0

精彩评论(0)

0 0 举报