ГлавнаяБаза уязвимостей БДУ → BDU:2021-03557
10критическая

BDU:2021-03557 (CVE-2021-35042)

Уязвимость функции QuerySet.order_by() программной платформы для веб-приложений Django, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2021-07-13
Описание

Уязвимость функции QuerySet.order_by() программной платформы для веб-приложений Django связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Django (от 3.1.0 до 3.1.13)Django (от 3.2.0 до 3.2.5)Debian GNU/Linux (11)
Способ устранения

Использование рекомендаций:
Для Django:
https://docs.djangoproject.com/en/3.2/releases/3.2.5/
https://docs.djangoproject.com/en/3.1/releases/3.1.13/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-35042

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://docs.djangoproject.com/en/3.2/releases/security/https://groups.google.com/forum/#!forum/django-announcehttps://www.djangoproject.com/weblog/2021/jul/01/security-releases/https://www.openwall.com/lists/oss-security/2021/07/02/2https://access.redhat.com/security/cve/cve-2021-35042https://docs.djangoproject.com/en/3.2/releases/3.2.5/https://docs.djangoproject.com/en/3.1/releases/3.1.13/https://nvd.nist.gov/vuln/detail/CVE-2021-35042
Проверьте безопасность своего сайта и почты → Полная проверка домена