PT-2020-5130 · Django Software Foundation+2 · Django+2

Norbert Szetei

·

Publicado

2020-03-04

·

Atualizado

2026-01-03

·

CVE-2020-9402

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Django 1.11 anteriores à 1.11.29
Versões do Django 2.2 anteriores à 2.2.11
Versões do Django 3.0 anteriores à 3.0.4
Descrição
A vulnerabilidade permite injeção de SQL se dados não confiáveis forem usados como parâmetro tolerance em funções GIS e agregados no Oracle. Ao passar um valor tolerance adequadamente manipulado para funções GIS e agregados no Oracle, era possível contornar a escapada de caracteres e injetar SQL malicioso. Isso poderia permitir que um invasor remoto executasse código arbitrário.
Recomendações
Para a versão 1.11 do Django, atualize para a versão 1.11.29 ou posterior.
Para a versão 2.2 do Django, atualize para a versão 2.2.11 ou posterior.
Para a versão 3.0 do Django, atualize para a versão 3.0.4 ou posterior.
Como solução temporária, considere evitar o uso de dados não confiáveis como parâmetro tolerance em funções GIS e agregados no Oracle até que um patch seja aplicado.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2020-1708
ALT-PU-2021-1636
BDU:2020-05726
BIT-DJANGO-2020-9402
CVE-2020-9402
DLA-3024-1
DSA-4705-1
GHSA-3GH2-XW74-JMCW
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2020-345
PYSEC-2020-36
RHSA-2021:1313
SUSE-RU-2020:2161-1
SUSE-SU-2020:3309-1
USN-4296-1

Produtos afetados

Alt Linux
Django
Ubuntu