Уязвимост в уеб рамката на Django, която може да доведе до заместване на SQL

Публикувани са коригиращи издания на Django web framework 4.0.6 и 3.2.14, които коригират уязвимост (CVE-2022-34265), която потенциално ви позволява да замените своя SQL код. Проблемът засяга приложения, които използват непроверени външни данни в параметрите kind и lookup_name, предадени на функциите Trunc(kind) и Extract(lookup_name). Програми, които позволяват само проверени данни в стойностите lookup_name и kind не са засегнати от уязвимостта.

Проблемът беше блокиран чрез забрана на използването на знаци, различни от букви, цифри, „-“, „_“, „(“ и „)“ в аргументите на функциите Extract и Trunc. Преди това единичните кавички не бяха изрязани в предаваните стойности, което правеше възможно изпълнението на вашите SQL конструкции чрез предаване на стойности като „ден“ ОТ начална_дата)) ИЛИ 1=1;—“ и „година“, начална_дата и час) ) ИЛИ 1=1;—“. В следващата версия 4.1 се планира допълнително да се засили защитата на методите за извличане на дата и съкращаване, но промените, направени в API, ще доведат до нарушаване на съвместимостта с бекенда на базата данни на трети страни.

Източник: opennet.ru