855
862
2940
金牌会员
该漏洞源于对QuerySet.order_by()中用户提供数据的过滤不足,未经过滤的用户输入可在标记为弃用的路径中绕过预期的列引用验证,从而导致可能的SQL注入。远程攻击者可通过向应用发送特殊构造的请求,实现任意SQL命令执行。 360漏洞云,公众号:360漏洞云漏洞情报 | Django SQL注入漏洞
使用道具 举报
本版积分规则 发表回复 回帖后跳转到最后一页
小黑屋|安全矩阵
GMT+8, 2024-11-29 11:54 , Processed in 0.014330 second(s), 18 queries .
Powered by Discuz! X4.0
Copyright © 2001-2020, Tencent Cloud.