mcyaixia
mcyaixia
### 联系方式 [email protected] ### MaxKB 版本 1.4 ### 问题描述 Django 是开源的Web应用框架。在受影响的版本中,QuerySet.values和 values_list 方法存在 SQL 注入漏洞。该漏洞影响具有 JSONField 字段的模型,攻击者可构造恶意的 JSON 对象键作为参数(*args)形成恶意的列别名(如:`injected_name" from "expressions_company"; -`)进行 SQL 注入,窃取或修改服务器敏感信息。 ### 重现步骤 项目中多处使用了JSONField字段 ### 期待的正确结果 Django升级版本解决此安全漏洞...
**用文字描述你遇到的问题** [cmdb模型导入字段,导入文件中存在多个新建组时报错,我已经参照#7753](https://github.com/TencentBlueKing/bk-cmdb/pull/7753)修复了导入的部分问题   **重现方法** 在模型中,导入字段文件,文件中存在多个新组时 **预期行为** 所有字段和组都创建成功且对应关系正常 **版本** 3.12.4 **额外信息** 导入文件中新建一个组时,可以正常导入,2个组是报错