概要
Django の GIS(Geographic Information System)関連関数および集計処理において、Oracle データベースを使用している場合にSQLインジェクションが可能な脆弱性(CVE-2020-9402)。
GIS関数や集計の tolerance(許容誤差)パラメータとして信頼できないデータが渡された場合、エスケープ処理が突破されて悪意のあるSQLを挿入できる。条件として、Djangoに認証済みユーザー(PR:L)からの入力がOracle上のGIS処理に渡される実装が必要となる。
本脆弱性は2020年3月に公開されており、修正バージョン(Django 3.0.4 / 2.2.11 / 1.11.29)は既に提供済みである。OSVのメタデータが2026年5月21日に再更新されたことで、本日のデータに含まれている。Django 3.0以降の現行サポートシリーズを使用している場合は実質的に影響を受けない。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8(High) |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-89(SQLインジェクション) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権レベル(PR) | 低(認証済みユーザー) |
| ユーザー関与(UI) | 不要 |
| スコープ(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Django | Django Software Foundation | 3.0系 3.0.4未満 |
| Django | Django Software Foundation | 2.2系 2.2.11未満 |
| Django | Django Software Foundation | 1.11系 1.11.29未満 |
修正バージョンと回避策
- 修正バージョン: Django 3.0.4 / 2.2.11 / 1.11.29 以降(いずれもサポート終了済み)
- 現在のDjangoサポート対象バージョン(4.2系、5.2系、6.0系)はいずれも修正済み
- 現行バージョンを使用しているユーザーへの影響: 実質なし(4.2以降は既修正)
- 1.x / 2.x / 3.xを使用している場合は、現行サポート版への移行を推奨
関連リンク
データソース: NVD (NIST), OSV (Google)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。