Հրապարակվել են Django վեբ շրջանակի 4.0.6 և 3.2.14 ուղղիչ թողարկումները, որոնք շտկում են խոցելիությունը (CVE-2022-34265), որը հնարավոր է թույլ է տալիս Ձեզ փոխարինել ձեր SQL կոդը: Խնդիրն ազդում է այն հավելվածների վրա, որոնք օգտագործում են չստուգված արտաքին տվյալներ Trunc(kind) և Extract(lookup_name) ֆունկցիաներին փոխանցված տեսակի և lookup_name պարամետրերում: Ծրագրերը, որոնք թույլ են տալիս միայն ստուգված տվյալներ lookup_name-ում և բարի արժեքներում, չեն ազդում խոցելիության վրա:
Խնդիրն արգելափակվեց՝ արգելելով այլ նիշերի օգտագործումը, բացի տառերից, թվերից, «-», «_», «(» և «)» Extract և Trunc ֆունկցիաների արգումենտներում: Նախկինում մեկ մեջբերումը փոխանցված արժեքներում չէր կտրվել, ինչը հնարավորություն էր տալիս կատարել ձեր SQL կոնստրուկցիաները՝ փոխանցելով այնպիսի արժեքներ, ինչպիսիք են «day' FROM start_datetime)) ԿԱՄ 1=1;—» և «տարի», start_datetime) ) ԿԱՄ 1=1;—“. Հաջորդ թողարկումում 4.1-ում նախատեսվում է ավելի ուժեղացնել ամսաթվերի արդյունահանման և կրճատման մեթոդների պաշտպանությունը, սակայն API-ում կատարված փոփոխությունները կհանգեցնեն երրորդ կողմի տվյալների բազայի հետադարձ կապի հետ համատեղելիության խզման:
Source: opennet.ru