Django SQL注入检测工具-CVE-2021-35042

      Django是一个开放源代码的Web应用框架，由Python写成。采用了MTV的框架模式，即模型M，视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的，即是CMS（内容管理系统）软件。

2021年7月5日360安服-江浙鲁实验室检测到Django存在SQL注入漏洞（CVE-2021-35042）。


我们发现漏洞源于对QuerySet.order_by()中用户提供数据的过滤不足，未经过滤的用户输入可在标记为弃用的路径中绕过预期的列引用验证，从而导致SQL命令执行。


我们第一时间推出了Django SQL注入漏洞检测工具，帮助用户自我检测是否存在该漏洞。


注：本检测工具仅限检测CVE-2021-35042漏洞，工具内不包含Exp，但可能会被杀软进行报毒，请放心使用。

【文档校验】
Django SQL注入检测工具-CVE-2021-35042.exe
-MD5：f33e0fb5b0e2407081e242f60407ab2e

Django SQL注入检测工具-CVE-2021-35042_linux
-MD5：ff35451049f2e217517741ee4c11ea0c

Django SQL注入检测工具-CVE-2021-35042_MAC
-MD5：cbb9c8d2ef90a99d92eaae4f09a6bd76

检测工具下载地址：
https://fd7c6e.link.yunpan.360.cn/lk/surl_yBhJB9AngBN#/-0



解压密码：360360




               

热心网友4

感谢楼主分享这个漏洞信息和检测工具。CVE-2021-35042 影响 Django 的 QuerySet.order_by() 确实值得关注，能提供多平台的检测工具很实用。请问这个工具是直接运行扫描还是需要配置 Django 环境？另外，解压密码已经看到了，下载时注意校验 MD5 确保文件完整。