漏洞描述
Django是由Python编程语言驱动的一个开源Web应用程序框架。Django 1.11、2.2、3.0、master分支,在 StringAgg(delimiter)的实现上存在SQL注入漏洞。攻击者通过传递构造的分隔符给contrib.postgres.aggregates.StringAgg实例,从而绕过转义并注入恶意SQL语句。<br>
Django < 1.11.27/2.2.9/3.0.2 SQL注入漏洞
PoC代码
暂无相关漏洞推荐
- Ilevia EVE X1 Server /ajax/php/leaf_replace_device.php 命令执行漏洞
- WordPress Ditty /wp-json/dittyeditor/v1/displayItems 服务器端请求伪造漏洞
- RuoYi AI /prod-api/system/model/list 信息泄露漏洞(CVE-2025-3199)
- Ilevia EVE X1 Server /ajax/history/get_history_data_odic.php 命令执行漏洞
- JM-DATA ONU JF511-TV 安全漏洞
- JM-DATA ONU JF511-TV 跨站请求伪造漏洞
- JM-DATA ONU JF511-TV 跨站脚本漏洞
- SohuTV CacheCloud 跨站脚本漏洞 (CVE-2025-15221)
- Campcodes Park 跨站脚本漏洞(CVE-2025-15214)
- POC MongoDB 存在未授权内存泄露漏洞(CVE-2025-14847)
- PX4 Autopilot栈溢出漏洞(CVE-2025-15150)
- CmsEasy 7.7.7 代码注入漏洞(CVE-2025-15148)
- Tenda WH450栈溢出漏洞(CVE-2025-15178)