Pythonのフレームワーク Djangoで深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907)
Pythonのフレームワーク Django(ジャンゴ)で深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907)されました。対象の方はアップデートする事をお勧めします。
脆弱性の影響を受けるバージョン
- Django Main
- Django 5.1
- Django 5.0
- Django 4.2
対応済みのバージョン
- Django 5.1.4
- Django 5.0.10
- Django 4.2.17
脆弱性 CVE-2024-53908の概要
Django セキュリティ ポリシーによると、この問題の脆弱性は「高」となっています。
Oracle データベースを使用する場合、信頼できないデータが lhs 値として使用されると、django.db.models.fields.json.HasKey ルックアップを直接使用すると、SQL インジェクションが発生する可能性があります。
※__ 構文経由で jsonfield.has_key ルックアップを使用するアプリケーションは影響を受けません。
脆弱性 CVE-2024-53907の概要
Django セキュリティ ポリシーによると、この問題の重大度は「中程度」となっています。
strip_tags ()メソッドとstriptagsテンプレート フィルターは、ネストされた不完全な HTML エンティティの大きなシーケンスを含む特定の入力を介して、潜在的なサービス拒否攻撃を受ける可能性があります。