5 Star 0 Fork 34

src-openEuler/python-django

CVE-2024-53908

已完成
CVE和安全问题 拥有者
创建于  
2024-12-05 10:29

一、漏洞信息
漏洞编号:CVE-2024-53908
漏洞归属组件:python-django
漏洞归属的版本:1.11.13,1.11.18,2.2.19,2.2.27,2.2.3,3.2.12,3.2.16,4.1.4,4.1.7,4.2.15,4.2.3,5.0.8,5.1
CVSS V3.0分值:
BaseScore:9.8 Critical
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞简述:
An issue was discovered in Django 5.1 before 5.1.4, 5.0 before 5.0.10, and 4.2 before 4.2.17. Direct usage of the django.db.models.fields.json.HasKey lookup, when an Oracle database is used, is subject to SQL injection if untrusted data is used as an lhs value. (Applications that use the jsonfield.has_key lookup via __ are unaffected.)
漏洞公开时间:2024-12-06 20:15:18
漏洞创建时间:2024-12-05 10:29:22
漏洞详情参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2024-53908

更多参考(点击展开)
参考来源 参考链接 来源链接
cve.mitre.org https://docs.djangoproject.com/en/dev/releases/security/
cve.mitre.org https://groups.google.com/g/django-announce
cve.mitre.org https://www.openwall.com/lists/oss-security/2024/12/04/3
suse_bugzilla http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-53908 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://seclists.org/oss-sec/2024/q4/144 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/8f8dc5a1fca7d076e749f307f6573af3512e7e99 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/49ff1042aa66bb25eda87e9a8ef82f3b0ad4eeba https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/6943d61818e63e77b65d8b1ae65941e8f04bd87b https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/7376bcbf508883282ffcc0f0fac5cf0ed2d6cbc5 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/a5a89ea28cc550c1b29b03f9e14ef3c128ec1e84 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/bbc74a7f7eb7335e913bdb4787f22e83a9be947e https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/ff08bb6c70aa45f83a5ef3bd0b601c7c9d1a7642 https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://github.com/django/django/commit/790eb058b0716c536a2f2e8d1c6d5079d776c22b https://bugzilla.suse.com/show_bug.cgi?id=1234231
suse_bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=2329287 https://bugzilla.suse.com/show_bug.cgi?id=1234231
redhat_bugzilla https://access.redhat.com/errata/RHSA-2024:11144 https://bugzilla.redhat.com/show_bug.cgi?id=2329287
redhat_bugzilla https://access.redhat.com/errata/RHSA-2024:11146 https://bugzilla.redhat.com/show_bug.cgi?id=2329287
debian https://security-tracker.debian.org/tracker/CVE-2024-53908

漏洞分析指导链接:
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
openBrain开源漏洞感知系统
漏洞补丁信息:

详情(点击展开)
影响的包 修复版本 修复补丁 问题引入补丁 来源
https://github.com/django/django/commit/8f8dc5a1fca7d076e749f307f6573af3512e7e99 suse_bugzilla
https://github.com/django/django/commit/49ff1042aa66bb25eda87e9a8ef82f3b0ad4eeba suse_bugzilla
https://github.com/django/django/commit/6943d61818e63e77b65d8b1ae65941e8f04bd87b suse_bugzilla
https://github.com/django/django/commit/7376bcbf508883282ffcc0f0fac5cf0ed2d6cbc5 suse_bugzilla
https://github.com/django/django/commit/a5a89ea28cc550c1b29b03f9e14ef3c128ec1e84 suse_bugzilla
https://github.com/django/django/commit/bbc74a7f7eb7335e913bdb4787f22e83a9be947e suse_bugzilla
https://github.com/django/django/commit/ff08bb6c70aa45f83a5ef3bd0b601c7c9d1a7642 suse_bugzilla
https://github.com/django/django/commit/790eb058b0716c536a2f2e8d1c6d5079d776c22b suse_bugzilla
https://github.com/django/django/commit/7376bcbf508883282ffcc0f0fac5cf0ed2d6cbc5 debian

二、漏洞分析结构反馈
影响性分析说明:
24.03、22.03分支采用补丁方式修复,20.03的2.2.27版本未找到补丁涉及的HasKeyLookup代码,不受影响
openEuler评分:
9.8
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
受影响版本排查(受影响/不受影响):
1.master(5.1):受影响
2.openEuler-22.03-LTS-SP1(4.2.15):受影响
3.openEuler-22.03-LTS-SP3(4.2.15):受影响
4.openEuler-24.03-LTS(4.2.15):受影响
5.openEuler-24.03-LTS-Next(4.2.15):受影响
6.openEuler-22.03-LTS-SP4(4.2.15):受影响
7.openEuler-24.03-LTS-SP1(4.2.15):受影响
8.openEuler-20.03-LTS-SP4(2.2.27):不受影响

修复是否涉及abi变化(是/否):
1.master(5.1):否
2.openEuler-20.03-LTS-SP4(2.2.27):否
3.openEuler-22.03-LTS-SP1(4.2.15):否
4.openEuler-22.03-LTS-SP3(4.2.15):否
5.openEuler-24.03-LTS(4.2.15):否
6.openEuler-24.03-LTS-Next(4.2.15):否
7.openEuler-22.03-LTS-SP4(4.2.15):否
8.openEuler-24.03-LTS-SP1(4.2.15):否

原因说明:
1.master(5.1):正常修复
2.openEuler-22.03-LTS-SP1(4.2.15):正常修复
3.openEuler-22.03-LTS-SP3(4.2.15):正常修复
4.openEuler-24.03-LTS(4.2.15):正常修复
5.openEuler-24.03-LTS-Next(4.2.15):正常修复
6.openEuler-22.03-LTS-SP4(4.2.15):正常修复
7.openEuler-24.03-LTS-SP1(4.2.15):正常修复
8.openEuler-20.03-LTS-SP4(2.2.27):不受影响-漏洞代码不存在

三、漏洞修复
安全公告链接:https://www.openeuler.org/zh/security/safety-bulletin/detail/?id=openEuler-SA-2024-2543

评论 (8)

openeuler-ci-bot 创建了CVE和安全问题 6个月前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
6个月前
展开全部操作日志
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 计划开始日期设置为2024-12-05 6个月前
openeuler-ci-bot 计划截止日期设置为2025-01-04 6个月前
openeuler-ci-bot 优先级设置为严重 6个月前
openeuler-ci-bot 修改了描述 6个月前
openeuler-ci-bot 修改了描述 6个月前
openeuler-ci-bot 修改了描述 6个月前
openeuler-ci-bot 修改了描述 6个月前

影响性分析说明:
24.03、22.03分支采用补丁方式修复,20.03的2.2.27版本未找到补丁涉及的HasKeyLookup代码,不受影响

openEuler评分:
BaseScore:9.8 Critical
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

受影响版本排查(受影响/不受影响):
1.master:受影响
2.openEuler-20.03-LTS-SP4:不受影响
3.openEuler-22.03-LTS-SP1:受影响
4.openEuler-22.03-LTS-SP3:受影响
5.openEuler-24.03-LTS:受影响
6.openEuler-24.03-LTS-Next:受影响
7.openEuler-22.03-LTS-SP4:受影响
8.openEuler-24.03-LTS-SP1:受影响

修复是否涉及abi变化(是/否):
1.master:否
2.openEuler-20.03-LTS-SP4:否
3.openEuler-22.03-LTS-SP1:否
4.openEuler-22.03-LTS-SP3:否
5.openEuler-24.03-LTS:否
6.openEuler-24.03-LTS-Next:否
7.openEuler-22.03-LTS-SP4:否
8.openEuler-24.03-LTS-SP1:否

原因说明:
1.master:正常修复
2.openEuler-20.03-LTS-SP4:不受影响-漏洞代码不存在
3.openEuler-22.03-LTS-SP1:正常修复
4.openEuler-22.03-LTS-SP3:正常修复
5.openEuler-24.03-LTS:正常修复
6.openEuler-24.03-LTS-Next:正常修复
7.openEuler-22.03-LTS-SP4:正常修复
8.openEuler-24.03-LTS-SP1:正常修复

openeuler-ci-bot 修改了描述 6个月前
openeuler-sync-bot 通过合并 Pull Request !139: [sync] PR-137: Fix CVE-2024-53907 CVE-2024-53908任务状态待办的 修改为已完成 6个月前
openeuler-ci-bot 任务状态已完成 修改为待办的 6个月前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-sync-bot 通过合并 Pull Request !140: [sync] PR-137: Fix CVE-2024-53907 CVE-2024-53908任务状态待办的 修改为已完成 6个月前
openeuler-ci-bot 任务状态已完成 修改为待办的 6个月前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-sync-bot 通过合并 Pull Request !141: [sync] PR-137: Fix CVE-2024-53907 CVE-2024-53908任务状态待办的 修改为已完成 6个月前
openeuler-ci-bot 任务状态已完成 修改为待办的 6个月前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-sync-bot 通过合并 Pull Request !142: [sync] PR-137: Fix CVE-2024-53907 CVE-2024-53908任务状态待办的 修改为已完成 6个月前
openeuler-ci-bot 任务状态已完成 修改为待办的 6个月前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-sync-bot 通过合并 Pull Request !143: [sync] PR-137: Fix CVE-2024-53907 CVE-2024-53908任务状态待办的 修改为已完成 6个月前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/FIXED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-python-modul
标签
6个月前
openeuler-ci-bot 计划开始日期2024-12-05 修改为2024-12-09 6个月前
openeuler-ci-bot 计划截止日期2025-01-04 修改为2024-12-16 6个月前
openeuler-ci-bot 修改了描述 6个月前

登录 后才可以发表评论

状态
负责人
项目
预计工期 (小时)
开始日期   -   截止日期
-
置顶选项
优先级
里程碑
分支
参与者(2)
5329419 openeuler ci bot 1632792936 wk333-wk333
1
https://gitee.com/src-openeuler/python-django.git
git@gitee.com:src-openeuler/python-django.git
src-openeuler
python-django
python-django

搜索帮助