Django Framework: SQL Injection bei JSON-Fields auf Oracle DB möglich

Table of Contents

Die Django-Community hat am 4. Dezember 2024 drei neue Sicherheitsreleases veröffentlicht: Django 5.1.4, Django 5.0.10 und Django 4.2.17. Diese Updates beheben zwei kürzlich entdeckte Sicherheitslücken, die sowohl die Stabilität als auch die Sicherheit von Anwendungen gefährden könnten. Nutzern wird dringend empfohlen, ihre Django-Installationen umgehend zu aktualisieren.

Details zu den Sicherheitslücken

Die erste Schwachstelle, CVE-2024-53907, betrifft die Funktion strip_tags() und den zugehörigen Template-Filter striptags. Diese Methoden können durch speziell manipulierte Eingaben, die große Sequenzen verschachtelter und unvollständiger HTML-Entitäten enthalten, anfällig für Denial-of-Service-Angriffe (DoS) werden. Dieser Fehler wurde als „moderat“ gemäß der Django-Sicherheitsrichtlinie eingestuft. Der Community-Mitglied jiangniao hat die Schwachstelle gemeldet.

Die zweite, schwerwiegendere Schwachstelle, CVE-2024-53908, ermöglicht eine SQL-Injection im Zusammenhang mit der Verwendung von HasKey(lhs, rhs) auf Oracle-Datenbanken. Der Angriff tritt auf, wenn nicht vertrauenswürdige Daten direkt in die lhs-Komponente eingefügt werden. Anwendungen, die das jsonfield.has_key-Lookup durch die __-Syntax verwenden, sind von dieser Schwachstelle nicht betroffen. Seokchan Yoon wird für die Meldung dieser Sicherheitslücke gedankt. Die Django-Sicherheitsrichtlinie stuft dieses Problem als „hoch“ ein.

Betroffene Versionen und Lösung

Die Schwachstellen betreffen die Hauptentwicklungszweige von Django sowie die unterstützten Versionen 5.1, 5.0 und 4.2. Für alle betroffenen Versionen wurden Patches bereitgestellt, die die Sicherheitslücken beheben. Die neuen Releases, Django 5.1.4, 5.0.10 und 4.2.17, stehen bereits zum Download bereit.

Handlungsempfehlung

Da beide Schwachstellen erhebliche Risiken bergen, ist es essenziell, die Updates so schnell wie möglich einzuspielen. Insbesondere Betreiber von Anwendungen, die auf Oracle-Datenbanken basieren oder Eingaben von Endnutzern verarbeiten, sollten den Updates höchste Priorität einräumen.

Die Django-Community bedankt sich bei den Sicherheitsforschern für die verantwortungsvolle Offenlegung der Schwachstellen und bei allen Nutzern für ihre Wachsamkeit in Sicherheitsfragen. Weitere Informationen, einschließlich der Patches, finden sich im offiziellen Django-Sicherheitsbulletin.

Related Posts

Kritische SQL-Injection-Schwachstelle in Zabbix API entdeckt (CVE-2024-42327)

Ein kritischer SQL-Injection-Fehler (CVE-2024-42327) wurde in der user.get-API von Zabbix identifiziert. Die Schwachstelle betrifft Nicht-Admin-Benutzer mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff ermöglicht.

Read More

Kritische Sicherheitslücken in der Veeam Service Provider Console

Am 3. Dezember 2024 hat Veeam die Entdeckung und Behebung zweier Sicherheitslücken in der Veeam Service Provider Console (VSPC) Version 8.1 öffentlich bekanntgegeben. Diese Schwachstellen, die als CVE-2024-42448 und CVE-2024-42449 klassifiziert wurden, stellen erhebliche Risiken dar und wurden während interner Tests identifiziert.

Read More

Kritische Schwachstellen in HPE Aruba Networking ClearPass Policy Manager entdeckt

Hewlett Packard Enterprise (HPE) hat am 3. Dezember 2024 mehrere schwerwiegende Sicherheitslücken in der ClearPass Policy Manager-Software gemeldet. Diese Schwachstellen ermöglichen Angreifern unter anderem Remote Code Execution (RCE), die Ausführung beliebiger Befehle und Cross-Site Scripting (XSS). Betroffen sind Versionen bis 6.12.2 und 6.11.9 sowie alle älteren Builds.

Read More