Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-14234

Опубликовано: 09 авг. 2019
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Версия от 1.11 (включая) до 1.11.23 (исключая)
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Версия от 2.1 (включая) до 2.1.11 (исключая)
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Версия от 2.2 (включая) до 2.2.4 (исключая)
Конфигурация 2
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 95%
0.19875
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-89

Связанные уязвимости

ubuntu логотип

CVE-2019-14234

CVSS3: 9.8
ubuntu
почти 6 лет назад

An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.

redhat логотип

CVE-2019-14234

CVSS3: 5.3
redhat
почти 6 лет назад

An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. Due to an error in shallow key transformation, key and index lookups for django.contrib.postgres.fields.JSONField, and key lookups for django.contrib.postgres.fields.HStoreField, were subject to SQL injection. This could, for example, be exploited via crafted use of "OR 1=1" in a key or index name to return all records, using a suitably crafted dictionary, with dictionary expansion, as the **kwargs passed to the QuerySet.filter() function.

debian логотип

CVE-2019-14234

CVSS3: 9.8
debian
почти 6 лет назад

An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before ...

github логотип

GHSA-6r97-cj55-9hrq

CVSS3: 9.8
github
почти 6 лет назад

SQL Injection in Django

fstec логотип

BDU:2019-03594

CVSS3: 9.8
fstec
почти 6 лет назад

Уязвимость функций django.contrib.postgres.fields.HStoreField и django.contrib.postgres.fields.JSONField фреймворка Django, связанная с отсутствием мер по защите структуры запроса SQL, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании

EPSS

Процентиль: 95%
0.19875
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-89