【威胁通告】Django SQL注入漏洞(CVE-2020-7471)

近日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)的潜在SQL注入漏洞(CVE-2020-7471)。

如果将不受信任的数据用作StringAgg分隔符,则部分版本的 Django将允许SQL注入。

通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg实例,可以打破转义并注入恶意SQL。

目前已存在针对该漏洞的 PoC。

阅读全文 “【威胁通告】Django SQL注入漏洞(CVE-2020-7471)” »

【威胁通告】《微软发布2月补丁修复100个安全问题》

微软于周二发布了2月安全更新补丁,修复了100个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及Adobe Flash Player、Internet Explorer、Microsoft Edge、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft Malware Protection Engine、Microsoft Office、Microsoft Office SharePoint、Microsoft Scripting Engine、Microsoft Windows、Microsoft Windows Search Component、Remote Desktop Client、Secure Boot、SQL Server、Windows Authentication Methods、Windows COM、Windows Hyper-V、Windows Installer、Windows Kernel、Windows Kernel-Mode Drivers、Windows Media、Windows NDIS、Windows RDP、Windows Shell以及Windows Update Stack。

阅读全文 “【威胁通告】《微软发布2月补丁修复100个安全问题》” »