Django Debug Toolbar 发布安全更新:3.2.1、2.2.1 和 1.11.1。
Django Debug Toolbar 发布安全更新:3.2.1、2.2.1 和 1.11.1
根据Django 和 Jazzband 遵循的安全发布策略,Django Debug Toolbar 项目的 Jazzband 项目团队发布了 Django Debug Toolbar 3.2.1、Django Debug Toolbar 2.2.1 和 Django Debug Toolbar 1.11.1。这些版本解决了下面详述的严重性为“高”的安全问题。我们鼓励所有 Django Debug Toolbar 用户尽快升级。
CVE-2021-30459 - 通过 Django Debug Toolbar >= 0.10.0 的 SQLPanel 的 Select、Explain 和 Analyze 表单进行 SQL 注入
对于Django Debug Toolbar 0.10.0 及更高版本,攻击者可以通过更改raw_sqlSQL explain、analyze 或 select 表单的输入并提交表单来执行 SQL。
对于在生产环境中使用该工具栏的任何人来说,这是一个高度严重的问题。
通常,Django Debug Toolbar 团队只维护最新版本的 django-debug-toolbar,但由于此问题的严重性很高,因此例外。
GitHub 安全公告可在以下网址找到:
https://github.com/jazzband/django-debug-toolbar/security/advisories/GHSA-pghf-347x-c2gj
受影响的支持版本
- Django Debug Toolbar 主分支
- Django Debug Toolbar 3.2
- Django Debug Toolbar 2.2
- Django Debug Toolbar 1.11
解决方案
已将解决此问题的补丁应用于 Django Debug Toolbar 的主分支(针对 3.2 版本)和 2.2 和 1.11 发布分支。这些补丁可以从以下变更集中获取:
- 在 主分支上
- 在 2.2 发布分支上
- 在 1.11 发布分支上
已发布以下版本:
关于安全报告的通用说明
由于此安全版本是针对第三方 Django 应用Django Debug Toolbar的,我们要求通过私人电子邮件将潜在的安全问题发送到 security@jazzband.co,**不要发送到 Django 的常规安全电子邮件地址**,也不要发送到 Django 的 Trac 实例或 django-developers 列表。
