近日，我司监测到Django发布安全公告，修复了Django框架中的两个sql注入漏洞。

Django 是用 Python 开发的一个免费开源的 Web 框架，几乎囊括了 Web 应用的方方面面，可以用于快速搭建高性能、优雅的网站，Django 提供了许多网站后台开发经常用到的模块，使开发者能够专注于业务部分。

漏洞详情:

• CVE-2022-28346

漏洞类型：sql注入

风险等级：高危

漏洞描述：使用精心编制的字典， 通过**kwargs传递给QuerySet.annotate()、aggregate()和extra()这些方法，可导致这些方法在列别名中受到SQL 注入攻击。

• CVE-2022-28347

漏洞类型：sql注入

风险等级：高危

漏洞描述：使用精心编制的字典，作为**options参数，可导致QuerySet.explain()方法在选项名称中受到 SQL 注入攻击。

受影响版本:

• 4.0 <= Django < 4.0.4
• 3.2 <= Django < 3.2.13
• 2.2 <= Django < 2.2.28

安全版本:

• Django 4.0.4
• Django 3.2.13
• Django 2.2.28

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

Django 4.0.4 https://www.djangoproject.com/m/releases/4.0/Django-4.0.4.tar.gz

Django 3.2.13 https://www.djangoproject.com/m/releases/3.2/Django-3.2.13.tar.gz

Django 2.2.28 https://www.djangoproject.com/m/releases/2.2/Django-2.2.28.tar.gz