0x01漏洞描述

Django 是 Django 基金会的一套基于 Python 语言的开源 Web 应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
近日，Django 官方发布安全通告公布了一个通过 StringAgg（分隔符）实现利用的潜在 SQL 注入漏洞。

攻击者可通过构造分隔符传递给聚合函数 contrib.postgres.aggregates.S tringAgg，从而绕过转义并注入恶意 SQL 语句。

相关用户可通过版本检测的方法判断当前应用是否存在风险。

在命令行输入 python，然后在 Python 提示符下输入下列命令，可查看当前 Django 版本信息。

若 Django 版本在受影响范围内，且使用的数据库为 PostgreSQL，则存在此漏洞的安全风险。

import django 
django.get_version()

或者，此漏洞是由于聚合函数 StringAgg 导致，若 Django 版本在受影响范围内，且使用了该聚合函数，则可能存在安全风险。开发人员可自行排查是否使用了下列函数。Strin gAgg 函数，是 PostgreSQL 数据库中将表达式变成字符串的聚合函数，可实现多行拼接，应用广泛。

django.contrib.postgres.aggregates.StringAgg。

0x02漏洞编号

CVE-2020-7471

严重

Django 1.11.x < 1.11.28
Django 2.2.x < 2.2.10
Django 3.0.x < 3.0.3
Django 主开发分支

暂无poc/exp

Django 官方已经发布新版本修复了上述漏洞，请受影响的用户尽快升级进行防护。
Django 1.11.28 下载地址：https://www.djangoproject.com/m/releases/1.11/Django-1.11.28.tar.gz
Django 2.2.10 下载地址：https://www.djangoproject.com/m/releases/2.2/Django -2.2.10.tar.gz
Django 3.0.3 下载地址：https://www.djangoproject.com/m/releases/3.0/Django- 3.0.3.tar.gz

若使用 pip 安装 Django，可通过 --upgrade 或 -U 来实现此操作：

$ pip install -U Django