개요
Django에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-53907, CVE-2024-53908
- Django 버전: 5.1.4 이전의 5.1 버전
- Django 버전: 5.0.10 이전의 5.0 버전
- Django 버전: 4.2.17 이전의 4.2 버전
해결된 취약점
Django의 strip_tags() 메서드와 striptags 템플릿 필터에서 대규모 중첩된 미완성 HTML 엔티티로 인해 발생할 수 있는 DoS 공격 취약점(CVE-2024-53907)
Django에서 Oracle 데이터베이스를 사용할 때 django.db.models.fields.json.HasKey 조회를 직접 사용할 경우 lhs 값에 신뢰할 수 없는 데이터가 포함될 때 발생할 수 있는 SQL 삽입 취약점(CVE-2024-53908)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-53907, CVE-2024-53908
- Django 버전: 5.1.4
- Django 버전: 5.0.10
- Django 버전: 4.2.17
참고사이트
[1] CVE-2024-53907 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-53907
[2] CVE-2024-53908 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-53908
[3] openwall/CVE-2024-53907, CVE-2024-53908