Уязвимость объектов QuerySet и Q программной платформы для разработки веб-приложений Django связана с непринятием мер по защите структуры запроса SQL при обработке аргумента с ключевым словом _connector. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть и изменить защищаемую информацию
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://docs.djangoproject.com/en/dev/releases/security/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 9.4 — критическая опасность |