Navoaka ny famoahana fanitsiana ny rafitra tranonkala Django 4.0.6 sy 3.2.14, izay manamboatra vulnerability (CVE-2022-34265) izay mety ahafahanao manolo ny code SQL anao. Ny olana dia misy fiantraikany amin'ny rindranasa mampiasa angona ivelany tsy voamarina amin'ny karazana sy ny anarana lookup_name nampitaina tamin'ny fiasan'ny Trunc(karazana) sy Extract(lookup_name). Ny programa izay mamela angon-drakitra voamarina ao amin'ny lookup_name sy ny soatoavina tsara fanahy dia tsy misy fiantraikany amin'ny vulnerability.
Voasakana ny olana tamin'ny fandrarana ny fampiasana tarehin-tsoratra hafa ankoatry ny litera, isa, β-β, β_β, β(β ary β)β ao amin'ny tohan-kevitry ny Extract sy Trunc. Teo aloha, ny teny tokana dia tsy nesorina tao amin'ny soatoavina nampitaina, izay nahafahana nanatanteraka ny fananganana SQL anao amin'ny alΓ lan'ny fampitaovana soatoavina toy ny "andro' FROM start_datetime)) OR 1 = 1;β" sy "taona', start_datetime) ) NA 1=1;ββ. Ao amin'ny famoahana manaraka 4.1, dia mikasa ny hanamafy kokoa ny fiarovana ny fitrandrahana daty sy ny fomba fanapahana, fa ny fanovana natao tamin'ny API dia hitarika ho amin'ny fahatapahan'ny mifanaraka amin'ny antoko fahatelo backends database.
Source: opennet.ru