Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234)

Django在2019年8月1日发布了一个安全更新,修复了在JSONField、HStoreField两个模型字段中存在的SQL注入漏洞。

参考链接:

该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。Django自带的后台应用Django-Admin中就存在这样的写法,我们可以直接借助它来复现漏洞。

漏洞环境

执行如下命令编译及启动一个存在漏洞的Django 2.2.3:

docker-compose build
docker-compose up -d

环境启动后,访问http://your-ip:8000即可看到Django默认首页。

漏洞复现

首先登陆后台http://your-ip:8000/admin/,用户名密码为admina123123123

登陆后台后,进入模型Collection的管理页面http://your-ip:8000/admin/vuln/collection/

然后在GET参数中构造detail__a'b=123提交,其中detail是模型Collection中的JSONField:

http://your-ip:8000/admin/vuln/collection/?detail__a%27b=123

可见,单引号已注入成功,SQL语句报错:

Copied From: vulhub/django/CVE-2019-14234