漏洞描述
如果在GIS函数中使用不受信任的数据作为容差参数并在Oracle上进行聚合,则1.11.29之前的Django 1.11、2.2.11之前的2.2和3.0.4之前的3.0允许SQL注入。通过对GIS功能和Oracle上的聚合传递适当的容度,有可能打破转义并注入恶意SQL。
Django 至 1.10.28/2.2.10/3.0.3 tolerance sql 注入漏洞
PoC代码
暂无相关漏洞推荐
- Ilevia EVE X1 Server /ajax/php/leaf_replace_device.php 命令执行漏洞
- WordPress Ditty /wp-json/dittyeditor/v1/displayItems 服务器端请求伪造漏洞
- RuoYi AI /prod-api/system/model/list 信息泄露漏洞(CVE-2025-3199)
- Ilevia EVE X1 Server /ajax/history/get_history_data_odic.php 命令执行漏洞
- JM-DATA ONU JF511-TV 安全漏洞
- JM-DATA ONU JF511-TV 跨站请求伪造漏洞
- JM-DATA ONU JF511-TV 跨站脚本漏洞
- SohuTV CacheCloud 跨站脚本漏洞 (CVE-2025-15221)
- Campcodes Park 跨站脚本漏洞(CVE-2025-15214)
- POC MongoDB 存在未授权内存泄露漏洞(CVE-2025-14847)
- PX4 Autopilot栈溢出漏洞(CVE-2025-15150)
- CmsEasy 7.7.7 代码注入漏洞(CVE-2025-15148)
- Tenda WH450栈溢出漏洞(CVE-2025-15178)