Korrigearjende releases fan it Django-webkader 4.0.6 en 3.2.14 binne publisearre, dy't in kwetsberens reparearje (CVE-2022-34265) wêrtroch jo jo SQL-koade mooglik kinne ferfange. It probleem hat ynfloed op applikaasjes dy't net ferifiearre eksterne gegevens brûke yn 'e soarte en lookup_name parameters trochjûn oan de Trunc (soarte) en Extract (lookup_name) funksjes. Programma's dy't allinich ferifiearre gegevens tastean yn 'e lookup_name en soarte wearden wurde net beynfloede troch de kwetsberens.
It probleem waard blokkearre troch it ferbieden fan it gebrûk fan oare tekens dan letters, sifers, "-", "_", "(" en ")" yn 'e arguminten fan' e Extract- en Trunc-funksjes. Earder waard it ienige sitaat net útsnien yn 'e oerdroegen wearden, wat it mooglik makke om jo SQL-konstruksjes út te fieren troch wearden troch te jaan lykas "day' FROM start_datetime)) OF 1 = 1;—" en "year', start_datetime) ) OF 1=1;—“. Yn 'e folgjende release 4.1 is it pland om de beskerming fan datum-ekstraksje en trunkaasjemetoaden fierder te fersterkjen, mar wizigingen makke oan' e API sille liede ta in ferdieling yn kompatibiliteit mei databank-backends fan tredden.
Boarne: opennet.ru