Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05726

Опубликовано: 05 мар. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Средний

Описание

Уязвимость библиотеки Django для языка программирования Python связана с недостаточной защитой структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Fedora Project
Django Software Foundation

Наименование ПО

Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
SUSE OpenStack Cloud
SUSE OpenStack Cloud Crowbar
Red Hat Satellite
Astra Linux Special Edition для «Эльбрус»
Fedora
Django

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (SUSE OpenStack Cloud)
8 (SUSE OpenStack Cloud Crowbar)
6.0 (Red Hat Satellite)
10 (Debian GNU/Linux)
19.10 (Ubuntu)
9 (SUSE OpenStack Cloud)
9 (SUSE OpenStack Cloud Crowbar)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
32 (Fedora)
от 1.11 до 1.11.29 (Django)
от 2.2 до 2.2.11 (Django)
от 3.0 до 3.0.4 (Django)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 19.10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9402
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/
Для Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-9402/
Для Debian GNU\Linux
https://security-tracker.debian.org/tracker/CVE-2020-9402
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-9402
Для DjangoProject:
https://www.djangoproject.com/weblog/2020/mar/04/security-releases/
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет python-django до 1:1.10.7-2+deb9u17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.5752
Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-9402

CVSS3: 8.8
ubuntu
больше 5 лет назад

Django 1.11 before 1.11.29, 2.2 before 2.2.11, and 3.0 before 3.0.4 allows SQL Injection if untrusted data is used as a tolerance parameter in GIS functions and aggregates on Oracle. By passing a suitably crafted tolerance to GIS functions and aggregates on Oracle, it was possible to break escaping and inject malicious SQL.

redhat логотип

CVE-2020-9402

CVSS3: 8.8
redhat
больше 5 лет назад

Django 1.11 before 1.11.29, 2.2 before 2.2.11, and 3.0 before 3.0.4 allows SQL Injection if untrusted data is used as a tolerance parameter in GIS functions and aggregates on Oracle. By passing a suitably crafted tolerance to GIS functions and aggregates on Oracle, it was possible to break escaping and inject malicious SQL.

nvd логотип

CVE-2020-9402

CVSS3: 8.8
nvd
больше 5 лет назад

Django 1.11 before 1.11.29, 2.2 before 2.2.11, and 3.0 before 3.0.4 allows SQL Injection if untrusted data is used as a tolerance parameter in GIS functions and aggregates on Oracle. By passing a suitably crafted tolerance to GIS functions and aggregates on Oracle, it was possible to break escaping and inject malicious SQL.

debian логотип

CVE-2020-9402

CVSS3: 8.8
debian
больше 5 лет назад

Django 1.11 before 1.11.29, 2.2 before 2.2.11, and 3.0 before 3.0.4 al ...

github логотип

GHSA-3gh2-xw74-jmcw

CVSS3: 8.8
github
около 5 лет назад

SQL injection in Django

EPSS

Процентиль: 98%
0.5752
Средний

8.8 High

CVSS3

9 Critical

CVSS2