Korrektiv Verëffentlechungen vum Django Web Framework 4.0.6 an 3.2.14 goufen publizéiert, déi eng Schwachstelle fixéieren (CVE-2022-34265) déi Iech potenziell erlaabt Äre SQL Code z'ersetzen. D'Thema beaflosst Uwendungen déi onverifizéiert extern Donnéeën an der Aart a Lookup_name Parameteren benotzen, déi un d'Trunc (Art) an Extract (lookup_name) Funktiounen iwwerginn ginn. Programmer déi nëmmen verifizéiert Donnéeën am Lookup_name an Aart Wäerter erlaben, sinn net vun der Schwachstelle betraff.
De Problem gouf blockéiert andeems d'Benotzung vun anere Zeechen wéi Buschtawen, Zuelen, "-", "_", "(" an ")" an den Argumenter vun den Extrait- a Trunc-Funktiounen verbitt. Virdru gouf dat eenzegt Zitat net an de iwwerdroe Wäerter ofgeschnidden, wat et méiglech gemaach huet Är SQL Konstrukter auszeféieren andeems Dir Wäerter wéi "Day" FROM start_datetime)) ODER 1=1;—" an "Joer", start_datetime) passéiert. ) ODER 1=1;—“. An der nächster Verëffentlechung 4.1 ass et geplangt fir de Schutz vun Datumextraktioun an Ofkierzungsmethoden weider ze stäerken, awer Ännerungen an der API féieren zu engem Decompte an der Kompatibilitéit mat Drëtt Partei Datebank Backends.
Source: opennet.ru