نسخه های اصلاحی چارچوب وب جنگو 4.0.6 و 3.2.14 منتشر شده است که آسیب پذیری (CVE-2022-34265) را برطرف می کند که به طور بالقوه به شما امکان می دهد کد SQL خود را جایگزین کنید. این مشکل بر برنامههایی تأثیر میگذارد که از دادههای خارجی تأیید نشده در پارامترهای kind و lookup_name استفاده میکنند که به توابع Trunc(kind) و Extract(lookup_name) منتقل میشوند. برنامههایی که فقط دادههای تایید شده در lookup_name و مقادیر نوع را مجاز میکنند تحت تأثیر این آسیبپذیری قرار نمیگیرند.
این مشکل با ممنوعیت استفاده از کاراکترهای غیر از حروف، اعداد، «-»، «_»، «(» و «)» در آرگومان های توابع Extract و Trunc مسدود شد. قبلاً، نقل قول واحد در مقادیر ارسال شده قطع نمی شد، که این امکان را فراهم می کرد که ساختارهای SQL خود را با عبور مقادیری مانند "day' FROM start_datetime)) یا 1=1;— و "year', start_datetime) اجرا کنید. ) یا 1=1;—“. در نسخه بعدی 4.1، برنامه ریزی شده است که حفاظت از روش های استخراج و برش تاریخ را بیشتر تقویت کند، اما تغییرات ایجاد شده در API منجر به اختلال در سازگاری با پشتیبان های پایگاه داده شخص ثالث می شود.
منبع: opennet.ru