Korrektiewe vrystellings van die Django-webraamwerk 4.0.6 en 3.2.14 is gepubliseer, wat 'n kwesbaarheid (CVE-2022-34265) regstel wat jou moontlik toelaat om jou SQL-kode te vervang. Die probleem raak toepassings wat ongeverifieerde eksterne data gebruik in die soort en soek_naam-parameters wat na die Trunc(soort) en Extract(lookup_name) funksies oorgedra word. Programme wat slegs geverifieerde data in die lookup_name en soort waardes toelaat, word nie deur die kwesbaarheid geraak nie.
Die probleem is geblokkeer deur die gebruik van ander karakters as letters, syfers, "-", "_", "(" en ")" in die argumente van die Extract- en Trunc-funksies te verbied. Voorheen was die enkele aanhaling nie uitgesny in die oorgedra waardes nie, wat dit moontlik gemaak het om jou SQL-konstrukte uit te voer deur waardes soos "dag' FROM start_datetime)) OF 1=1;β" en "year', start_datetime) deur te gee. ) OF 1=1;ββ. In die volgende weergawe 4.1 word beplan om die beskerming van datumonttrekking en afkappingsmetodes verder te versterk, maar veranderinge wat aan die API aangebring is, sal lei tot 'n ineenstorting in versoenbaarheid met derdeparty-databasis-agtergronde.
Bron: opennet.ru