Ebipụtala ihe ndozi nke Django web framework 4.0.6 na 3.2.14, nke na-edozi adịghị ike (CVE-2022-34265) nke nwere ike inye gị ohere iji dochie koodu SQL gị. Esemokwu a na-emetụta ngwa ndị na-eji data mpụga akwadoghị n'ụdị na search_name parameters gafere na ọrụ Trunc(ụdị) na wepụ(lookup_name). Mmemme ndị na-enye ohere naanị data enyochagoro na lookup_name na ụkpụrụ dị mma adịghị emetụta ya.
A gbochiri nsogbu ahụ site na machibido iji mkpụrụedemede ndị na-abụghị mkpụrụedemede, nọmba, "-", "_", "(" na ")" na arụmụka nke ọrụ Extract na Trunc. Na mbụ, ebipụghị otu ntinye okwu ahụ na ụkpụrụ ebugharị, nke mere ka o kwe omume ịmebe ihe nrụpụta SQL gị site n'ịfefe ụkpụrụ dịka "ụbọchị 'FROM start_datetime)) OR 1 = 1; -" na "afọ', start_datetime) ) MA Ọ BỤ 1=1;—“. Na ntọhapụ na-esote 4.1, a na-eme atụmatụ ime ka nchebe nke mmịpụta ụbọchị na ụzọ nkwụsịtụ sikwuo ike, mana mgbanwe ndị e mere na API ga-eduga na ndakpọ na ndakọrịta na nkwado ndabere nke ndị ọzọ.
isi: opennet.ru