Izdana sta bila Django 4.0.6 in 3.2.14, ki odpravljata ranljivost (CVE-2022-34265), ki potencialno omogoča vbrizgavanje SQL kode. Težava vpliva na aplikacije, ki v parametrih kind in lookup_name, posredovanih funkcijama Trunc(kind) in Extract(lookup_name), uporabljajo nezaupanja vredne zunanje podatke. Programi, ki v vrednostih lookup_name in kind sprejemajo samo zaupanja vredne podatke, niso prizadeti.
Težava je bila odpravljena z onemogočanjem uporabe znakov, ki niso črke, številke, "-", "_", "(" in ")", v argumentih funkcij Extract in Trunc. Prej enojni narekovaji niso bili odstranjeni iz posredovanih vrednosti, kar je omogočilo izvajanje prilagojenih konstruktov SQL s posredovanjem vrednosti, kot sta "day' FROM start_datetime)) OR 1=1;—" in "year', start_datetime)) OR 1=1;—". Naslednja izdaja, 4.1, načrtuje nadaljnjo okrepitev varnosti metod ekstrakcije in obrezovanja datumov, vendar bodo spremembe API-ja prekinile združljivost z zalednimi sistemi baz podatkov drugih proizvajalcev.
Vir: opennet.ru
