የDjango ድር ማዕቀፍ 4.0.6 እና 3.2.14 እርማት ታትመዋል፣ ይህም ተጋላጭነትን (CVE-2022-34265) የሚያስተካክል ሲሆን ይህም የSQL ኮድዎን እንዲቀይሩ ያስችልዎታል። ችግሩ ያልተረጋገጠ ውጫዊ ውሂብን ወደ ትሩክ(አይነት) እና ማውጣት(የፍለጋ_ስም) ተግባራት በሚያልፉ አይነት እና የፍለጋ_ስም መለኪያዎች ላይ በሚጠቀሙ መተግበሪያዎች ላይ ተጽእኖ ይኖረዋል። በፍለጋ ስም እና በደግነት የተረጋገጠ ውሂብ ብቻ የሚፈቅዱ ፕሮግራሞች በተጋላጭነት አይነኩም።
በ Extract እና Trunc ተግባራት ክርክሮች ውስጥ ከደብዳቤዎች ፣ ቁጥሮች ፣ “-“ ፣ “_” ፣ “(” እና “)” ውጭ ያሉ ቁምፊዎችን መጠቀምን በመከልከል ችግሩ ታግዷል። ከዚህ ቀደም ነጠላ ጥቅሱ በሚተላለፉት እሴቶች ውስጥ አልተቆረጠም ነበር፣ ይህም እንደ “ቀን’FROM የመጀመሪያ_ቀን)) ወይም 1=1;—” እና “ዓመት’፣ የመጀመሪያ_ቀን) እሴቶችን በማለፍ የ SQL ግንባታዎችዎን ለማስፈጸም አስችሎታል። ) ወይም 1=1;—“። በሚቀጥለው እትም 4.1፣ የቀን ማውጣት እና የመቁረጥ ዘዴዎች ጥበቃን የበለጠ ለማጠናከር ታቅዷል፣ ነገር ግን በኤፒአይ ላይ የተደረጉ ለውጦች ከሶስተኛ ወገን የውሂብ ጎታ ጀርባዎች ጋር ተኳሃኝነትን ወደ ውድቀት ያመራል።
ምንጭ: opennet.ru