ГлавнаяБаза уязвимостей БДУ → BDU:2024-06269
10критическая

BDU:2024-06269 (CVE-2024-42005)

Уязвимость методов QuerySet.values() и values_list() моделей JSONField программной платформы для веб-приложений Django, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-08-19
Описание

Уязвимость методов QuerySet.values() и values_list() моделей JSONField программной платформы для веб-приложений Django связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного SQL-запроса

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Django (от 4.2 до 4.2.15)Django (от 5.0 до 5.0.8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программной платформе;
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Использование рекомендаций производителя:
https://docs.djangoproject.com/en/dev/releases/security/
https://www.djangoproject.com/weblog/2024/aug/06/security-releases/

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202408201751+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202408201751+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://docs.djangoproject.com/en/dev/releases/security/https://www.djangoproject.com/weblog/2024/aug/06/security-releases/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47https://github.com/EyalSec/EyalSec_CVE/tree/main/CVE-2024-42005
Проверьте безопасность своего сайта и почты → Полная проверка домена