Vulnérabilité dans Django
Date de publication :
Une vulnérabilité a été découverte dans Django lorsqu’utilisé conjointement avec une base de données Oracle. Celle-ci permet à un attaquant distant d’effectuer des injections SQL contre la base de données, prenant partiellement le contrôle de celle-ci.
CVE-2020-9402 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans Django lors de la gestion de certaines fonctionnalités comme les fonctions d'agrégat et de géolocalisation pour les bases de données Oracle. Un attaquant manipulant un paramètre de tolérance peut exploiter cette faille et réaliser des injections SQL sur la base de données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection SQL
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement
Composants vulnérables
- Django 3.0
- Django 2.2
- Django 1.11
CVE
- CVE-2020-9402
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Django vers l’une des versions non-vulnérables:
- Django 3.0.4
- Django 2.2.11
- Django 1.11.29
Solution de contournement
- Pas de solution de contournement disponible