PT-2024-9187 · Django+6 · Django+6

Seokchan Yoon

·

Publicado

2024-12-04

·

Atualizado

2026-01-03

·

CVE-2024-53908

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Versões do Django 4.2 a 4.2.17
Versões do Django 5.0 a 5.0.10
Versões do Django 5.1 a 5.1.4
Descrição:
Foi descoberta uma vulnerabilidade no Django ao utilizar um banco de dados Oracle. O uso direto da consulta django.db.models.fields.json.HasKey está sujeito a injeção de SQL se dados não confiáveis forem utilizados como valor lhs. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código SQL arbitrário ao enviar uma solicitação especialmente criada.
Recomendações:
Para as versões 4.2 a 4.2.17 do Django, atualize para a versão 4.2.17 ou posterior.
Para as versões 5.0 a 5.0.10 do Django, atualize para a versão 5.0.10 ou posterior.
Para as versões 5.1 a 5.1.4 do Django, atualize para a versão 5.1.4 ou posterior.
Como solução alternativa temporária, considere evitar o uso da consulta django.db.models.fields.json.HasKey com dados não confiáveis até que um patch seja aplicado.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2024-17274
ALT-PU-2025-10176
BDU:2024-10874
BIT-DJANGO-2024-53908
CVE-2024-53908
GHSA-M9G8-FXXM-XG86
MGASA-2025-0039
OESA-2024-2539
OESA-2024-2540
OESA-2024-2541
OESA-2024-2543
OPENSUSE-SU-2024:14565-1
OPENSUSE-SU-2024:14568-1
OPENSUSE-SU-2024_4285-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-157
RHSA-2025:0340
RHSA-2025:0721
SUSE-SU-2024:4285-1
USN-7136-1

Produtos afetados

Alt Linux
Debian
Django
Linuxmint
Red Os
Suse
Ubuntu