Vulnérabilité dans Django

Une vulnérabilité a été découverte dans Django lorsqu’utilisé conjointement avec une base de données Oracle. Celle-ci permet à un attaquant distant d’effectuer des injections SQL contre la base de données, prenant partiellement le contrôle de celle-ci.

CVE-2020-9402 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans Django lors de la gestion de certaines fonctionnalités comme les fonctions d'agrégat et de géolocalisation pour les bases de données Oracle. Un attaquant manipulant un paramètre de tolérance peut exploiter cette faille et réaliser des injections SQL sur la base de données.

Informations
+

Risques

  • Injection SQL

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement           

Composants vulnérables

  • Django 3.0
  • Django 2.2
  • Django 1.11

CVE

  • CVE-2020-9402

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Django vers l’une des versions non-vulnérables:
    • Django 3.0.4
    • Django 2.2.11
    • Django 1.11.29

Solution de contournement

  • Pas de solution de contournement disponible