【漏洞详情】

Django是高水准的Python编程语言驱动的一个开源模型．视图，控制器风格的Web应用程序框架，它起源于开源社区。使用这种架构，程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。这也正是OpenStack的Horizon组件采用这种架构进行设计的主要原因。另外，在Django框架中，还包含许多功能强大的第三方插件，使得Django具有较强的可扩展性 。2021年7月1日，国外站点发布了CVE-2021-35042 Django的SQL注入漏洞。平安云安全中心提醒有使用Django的用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】
Django 3.2

Django 3.1

具体（3.1, 3.1.1, 3.1.2, 3.1.3, 3.1.4, 3.1.5, 3.1.6, 3.1.7, 3.1.8, 3.1.9, 3.1.10, 3.1.11, 3.1.12, 3.2, 3.2.1, 3.2.2, 3.2.3, 3.2.4）

【修复建议】

安全版本：

Django 3.2.5

Django 3.1.13

【参考链接】

https://www.djangoproject.com/weblog/2021/jul/01/security-releases/

https://www.mail-archive.com/search?l=debian-security-tracker-commits@alioth-lists.debian.net&q=subject:%22%5C%5BGit%5C%5D%5C%5Bsecurity%5C-tracker%5C-team%5C%2Fsecurity%5C-tracker%5C%5D%5C%5Bmaster%5C%5D+automatic+update%22&o=newest&f=1

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年7月2日