CVE-2019-14234:Django JSONField SQL注入漏洞复现
你剥开一个很酸的橙子而感到后悔了,可对于橙子来说,那是它的一切.
该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。
漏洞概述:
Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现,Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。
通过JSONField类获得KeyTransform类并生成sql语句的位置。
其中key_name是可控的字符串,最终生成的语句是WHERE (field->’[key_name]’) = ‘value’,因此可以进行SQL注入。
漏洞版本:
- Django
1.11.x before 1.11.23
2.1.x before 2.1.11
2.2.x before 2.2.4
漏洞复现:
-
vulhub搭建,进行访问