Possibile SQL injection in Django

04/02/2020

django framework sql-injection web

Logo Django

 

Il popolare framework python Django per lo sviluppo di applicazioni web è potenzialmente vulnerabile ad un attacco di tipo SQL injection nelle versioni:

  • minori di 3.0.3
  • minori di 2.2.10
  • minori di 1.11.28

La vulnerabilità (CVE-2020-7471) riguarda la funzione StringAgg (nel package django.contrib.postgres.aggregates), la quale non gestiva correttamente la stringa di delimitatore avuta in input permettendo ad un attaccante, in grado di controllare il delimitatore, di effettuare una SQL injection.

Ci uniamo agli sviluppatori di Django nello spronare i fruitori di questo framework ad aggiornarlo all’ultima versione disponibile per la major release in uso.