Potensial olaraq SQL kodunuzu əvəz etməyə imkan verən zəifliyi (CVE-4.0.6-3.2.14) düzəldən Django veb çərçivəsi 2022 və 34265-ün düzəldici buraxılışları dərc edilmişdir. Problem Trunc(növ) və Extract(axtarma_adı) funksiyalarına ötürülən növ və axtarış_adı parametrlərində yoxlanılmamış xarici məlumatlardan istifadə edən proqramlara təsir edir. Axtarış_adında yalnız təsdiqlənmiş məlumatlara və növ dəyərlərinə icazə verən proqramlar zəiflikdən təsirlənmir.
Çıxarış və Trunc funksiyalarının arqumentlərində hərflər, rəqəmlər, “-“, “_”, “(” və “)” simvollarından başqa simvolların istifadəsini qadağan etməklə problemin qarşısı alınıb. Əvvəllər ötürülən dəyərlərdə vahid sitat kəsilmirdi, bu da “day' FROM start_datetime)) OR 1=1;—” və “il”, start_datetime) kimi dəyərləri ötürməklə SQL konstruksiyalarınızı yerinə yetirməyə imkan verirdi. ) OR 1=1;—“. Növbəti buraxılış 4.1-də tarixlərin çıxarılması və kəsilmə üsullarının mühafizəsini daha da gücləndirmək planlaşdırılır, lakin API-yə edilən dəyişikliklər üçüncü tərəf verilənlər bazası backendləri ilə uyğunluğun pozulmasına gətirib çıxaracaq.
Mənbə: opennet.ru