Ko nga putanga whakatika o te anga tukutuku Django 4.0.6 me 3.2.14 kua whakaputaina, e whakatika ana i te whakaraeraetanga (CVE-2022-34265) ka taea e koe te whakakapi i to waehere SQL. Ka pa te take ki nga tono e whakamahi ana i nga raraunga o waho kaore i manatokohia i roto i te ahua me nga tawhā titiro_ingoa i tukuna ki nga mahi Trunc(ahua) me te Tango(lookup_name). Ko nga kaupapa e tuku ana i nga raraunga manatoko anake i roto i te ingoa_tirotiro me nga uara atawhai kaore e pa ki te whakaraeraetanga.
I aukatihia te raru ma te aukati i te whakamahi i nga tohu i tua atu i nga reta, nga nama, "-", "_", "(" me ")" i roto i nga tohenga o nga mahi Tango me te Trunc. I mua, kaore i tapahia te korero kotahi i roto i nga uara tuku, i taea ai te mahi i o hangahanga SQL ma te tuku uara penei i te "ra' FROM start_datetime)) OR 1=1;—" me te "tau', start_datetime) ) RĀNEI 1=1;—“. I roto i te tukunga 4.1 e whai ake nei, kua whakamaheretia kia kaha ake te whakamarumaru i nga tikanga tangohanga ra me nga tikanga tapahi, engari ko nga huringa ka mahia ki te API ka paheke te hototahi ki nga papamuri papaa raraunga tuatoru.
Source: opennet.ru