最新文章:
- 某CMS后台任意文件读取漏洞(转载自川云安全团队AdminTony师傅)
- 我是如何打脸某黑客的并删除整站数据库的
- CVE-2020-7471 Django StringAgg SQL Injection漏洞复现
- 工信部发布关于做好疫情防控期间信息通信行业网络安全保障工作的通知
- 常见终端机绕过技巧
-
CVE-2020-7471 Django StringAgg SQL Injection漏洞复现
0X1 漏洞概述近日,Django官方发布安全通告公布了一个通过StringAgg(分隔符)的潜在SQL注入漏洞(CVE-2020-7471)。如果将不受信任的数据用作StringAgg分隔符,则部分版本的Django将允许SQL注入。通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg...