【威胁通告】Django SQL注入漏洞（CVE-2020-7471）威胁通告

通告编号:NS-2020-00072020-02-12TAG：Django、SQL注入、CVE-2020-7471漏洞危害：攻击者利用此漏洞，可注入恶意SQL语句。版本：1.01漏洞概述2月3日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）实现利用的潜在SQL注入漏洞（CVE-2020-7471）。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg，从而绕过转义并注入恶意SQL语句。Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架，起源于开源社区。使用Django，程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序，应用广泛。2月11日，绿盟科技监测发现此漏洞PoC已公开，请相关用户尽快升级Django至修复版本，修复此漏洞。CVSS3.1评分：9.8参考链接：https://www.djangoproject.com/weblog/202 ………………………………