Objavljena su korektivna izdanja Django web frameworka 4.0.6 i 3.2.14, koja popravljaju ranjivost (CVE-2022-34265) koja vam potencijalno omogućava zamjenu vašeg SQL koda. Problem utiče na aplikacije koje koriste neprovjerene vanjske podatke u parametrima vrste i lookup_name proslijeđenih funkcijama Trunc(vrsta) i Extract(ime_potraživanja). Ranjivost ne utiče na programe koji dozvoljavaju samo provjerene podatke u lookup_name i kind vrijednostima.
Problem je blokiran zabranom upotrebe drugih znakova osim slova, brojeva, “-“, “_”, “(” i “)” u argumentima funkcija Extract i Trunc. Ranije, jednostruki navodnik nije bio izrezan u prenesenim vrijednostima, što je omogućilo izvršavanje vaših SQL konstrukcija prosljeđivanjem vrijednosti poput "dan' FROM start_datetime)) ILI 1=1;—" i "year', start_datetime) ) ILI 1=1;—“. U sljedećem izdanju 4.1 planira se dodatno ojačati zaštitu metoda izdvajanja datuma i skraćivanja, ali promjene napravljene u API-ju dovešće do sloma u kompatibilnosti sa backendovima baze podataka treće strane.
izvor: opennet.ru