Pythonのフレームワーク Djangoで深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907)

Pythonのフレームワーク Djangoで深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907)

Pythonのフレームワーク  Django(ジャンゴ)で深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907)されました。対象の方はアップデートする事をお勧めします。

脆弱性の影響を受けるバージョン

  • Django Main
  • Django 5.1
  • Django 5.0
  • Django 4.2

対応済みのバージョン

  • Django 5.1.4
  • Django 5.0.10
  • Django 4.2.17

脆弱性 CVE-2024-53908の概要

Django セキュリティ ポリシーによると、この問題の脆弱性は「高」となっています。

Oracle データベースを使用する場合、信頼できないデータが lhs 値として使用されると、django.db.models.fields.json.HasKey ルックアップを直接使用すると、SQL インジェクションが発生する可能性があります。

※__ 構文経由で jsonfield.has_key ルックアップを使用するアプリケーションは影響を受けません。

脆弱性 CVE-2024-53907の概要

Django セキュリティ ポリシーによると、この問題の重大度は「中程度」となっています。

strip_tags ()メソッドとstriptagsテンプレート フィルターは、ネストされた不完全な HTML エンティティの大きなシーケンスを含む特定の入力を介して、潜在的なサービス拒否攻撃を受ける可能性があります。

TOPへ