ГлавнаяБаза уязвимостей БДУ → BDU:2024-10874
9.4критическая

BDU:2024-10874 (CVE-2024-53908)

Уязвимость класса django.db.models.fields.json.HasKey программной платформы для веб-приложений Django, позволяющая нарушителю выполнить произвольный SQL-код
Опубликовано: 2024-12-09
Описание

Уязвимость класса django.db.models.fields.json.HasKey программной платформы для веб-приложений Django связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный SQL-код путём отправки специально сформированного запроса

Затрагиваемое ПО и версии
Debian GNU/Linux (12)РЕД ОС (7.3)Ansible Automation Platform (1.2)Ansible Automation Platform (2.0)Red Hat DiscoveryUbuntu (24.04 LTS)Ubuntu (24.10)Django (от 5.1 до 5.1.4)Django (от 5.0 до 5.0.10)Django (от 4.2 до 4.2.17)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения возможности подключения недоверенных пользователей к административным интерфейсам платформы и базы данных.

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-53908#cve-cvss-v3

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-53908

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-53908

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2024-53908https://www.djangoproject.com/weblog/2024/dec/04/security-releases/https://ubuntu.com/security/CVE-2024-53908https://access.redhat.com/security/cve/cve-2024-53908#cve-cvss-v3http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена