CVE-2020-9402 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Django GIS 函数/聚合中的 **SQL 注入**。 💥 **后果**：攻击者可 **查看、添加、修改或删除** 数据库信息。

🔍 **缺陷点**：Oracle 数据库环境下，GIS 函数和聚合的 **tolerance 参数** 未正确处理。 ⚠️ **原因**：不受信任的数据传入，导致 **字符转义被破坏**，恶意 SQL 注入。

📦 **受影响版本**： • Django **1.11.x** (< 1.11.29) • Django **2.2.x** (< 2.2.11) • Django **3.0.x** (< 3.0.4) 🔧 **组件**：GIS 功能模块。

🕵️ **黑客权限**：完全控制数据库内容。 📂 **数据风险**：可 **读取** 敏感数据、**篡改** 业务数据、**删除** 记录。

🚪 **利用门槛**：中等。 🔑 **条件**：需使用 **Oracle** 数据库后端，且将 **不受信任数据** 作为 tolerance 参数传入 GIS 函数。

🧪 **现成 Exp**：有。 🔗 **PoC 来源**：ProjectDiscovery Nuclei 模板、Vulhub、Awesome-POC 均有收录。

🔎 **自查方法**： 1. 检查 Django 版本是否在 **受影响列表**。 2. 确认是否使用 **Oracle** 数据库。 3. 审计代码中 GIS 函数的 **tolerance 参数** 是否直接接收用户输入。

🛡️ **官方修复**：已修复。 ✅ **建议版本**：升级至 **1.11.29+**、**2.2.11+** 或 **3.0.4+**。

⚠️ **临时规避**： • 避免在 GIS 函数中使用 **用户可控** 的 tolerance 参数。 • 若无法升级，严格 **过滤/转义** 输入数据。

🔥 **优先级**：**高**。 📅 **发布时间**：2020-03-05。 💡 **建议**：立即检查版本，若受影响请 **尽快升级** 补丁。