Выпуски безопасности Django Debug Toolbar: 3.2.1, 2.2.1 и 1.11.1

CVE-2021-30459 - SQL-инъекция через формы выбора, объяснения и анализа панели инструментов отладки SQLPanel для Django> = 0.10.0

С Django Debug Toolbar 0.10.0 и выше злоумышленники могут выполнять SQL, изменяя ввод raw_sql объяснения SQL, анализируя или выбирая формы и отправляя форму.

Это серьезная проблема для всех, кто использует панель инструментов в производственной среде.

Обычно команда Django Debug Toolbar поддерживает только последнюю версию django-debug-toolbar, но было сделано исключение из-за высокой серьезности этой проблемы.

Рекомендации по безопасности GitHub можно найти здесь:

https://github.com/jazzband/django-debug-toolbar/security/advisories/GHSA-pghf-347x-c2gj

Затронутые поддерживаемые версии

• Основная ветка панели инструментов отладки Django
• Панель инструментов отладки Django 3.2
• Панель инструментов отладки Django 2.2
• Панель инструментов отладки Django 1.11

Решения

Исправления для решения этой проблемы были применены к основной ветке Django Debug Toolbar (для выпуска 3.2) и ветвям выпуска 2.2 и 1.11. Патчи могут быть получены из следующих наборов изменений:

• На главном филиале
• В ветке выпуска 2.2
• В ветке выпуска 1.11

Выпущены следующие релизы:

• Панель инструментов отладки Django 3.2.1
• Панель инструментов отладки Django 2.2.1
• Панель инструментов отладки Django 1.11.1

Общие примечания относительно отчетов о безопасности

Поскольку этот выпуск безопасности предназначен для стороннего приложения Django Django Debug Toolbar , мы просим отправлять потенциальные проблемы с безопасностью через личный адрес электронной почты на адрес security@jazzband.co, а не на обычный адрес электронной почты безопасности Django, ни на экземпляр Django Trac, ни на django-developers список.