Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

ubuntu логотип

CVE-2020-7471

Опубликовано: 03 фев. 2020
Источник: ubuntu
Приоритет: medium
EPSS Низкий
CVSS2: 7.5
CVSS3: 9.8

Описание

Django 1.11 before 1.11.28, 2.2 before 2.2.10, and 3.0 before 3.0.3 allows SQL Injection if untrusted data is used as a StringAgg delimiter (e.g., in Django applications that offer downloads of data as a series of rows with a user-specified column delimiter). By passing a suitably crafted delimiter to a contrib.postgres.aggregates.StringAgg instance, it was possible to break escaping and inject malicious SQL.

РелизСтатусПримечание
bionic

released

1:1.11.11-1ubuntu1.7
devel

not-affected

2:2.2.10-1
eoan

released

1:1.11.22-1ubuntu1.2
esm-infra-legacy/trusty

not-affected

code not present
esm-infra/bionic

not-affected

1:1.11.11-1ubuntu1.7
esm-infra/xenial

not-affected

code not present
precise/esm

DNE

trusty

ignored

end of standard support
trusty/esm

not-affected

code not present
upstream

released

2.2.10

Показывать по

Ссылки на источники

EPSS

Процентиль: 92%
0.08683
Низкий

7.5 High

CVSS2

9.8 Critical

CVSS3

Связанные уязвимости

redhat логотип

CVE-2020-7471

CVSS3: 9.8
redhat
больше 5 лет назад

Django 1.11 before 1.11.28, 2.2 before 2.2.10, and 3.0 before 3.0.3 allows SQL Injection if untrusted data is used as a StringAgg delimiter (e.g., in Django applications that offer downloads of data as a series of rows with a user-specified column delimiter). By passing a suitably crafted delimiter to a contrib.postgres.aggregates.StringAgg instance, it was possible to break escaping and inject malicious SQL.

nvd логотип

CVE-2020-7471

CVSS3: 9.8
nvd
больше 5 лет назад

Django 1.11 before 1.11.28, 2.2 before 2.2.10, and 3.0 before 3.0.3 allows SQL Injection if untrusted data is used as a StringAgg delimiter (e.g., in Django applications that offer downloads of data as a series of rows with a user-specified column delimiter). By passing a suitably crafted delimiter to a contrib.postgres.aggregates.StringAgg instance, it was possible to break escaping and inject malicious SQL.

debian логотип

CVE-2020-7471

CVSS3: 9.8
debian
больше 5 лет назад

Django 1.11 before 1.11.28, 2.2 before 2.2.10, and 3.0 before 3.0.3 al ...

github логотип

GHSA-hmr4-m2h5-33qx

CVSS3: 9.8
github
больше 5 лет назад

SQL injection in Django

fstec логотип

BDU:2021-03743

CVSS3: 9.8
fstec
больше 5 лет назад

Уязвимость компонента contrib.postgres.aggregates.StringAgg программной платформы для веб-приложений Django, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 92%
0.08683
Низкий

7.5 High

CVSS2

9.8 Critical

CVSS3