Janë publikuar publikimet korrigjuese të kornizës së internetit Django 4.0.6 dhe 3.2.14, të cilat rregullojnë një dobësi (CVE-2022-34265) që potencialisht ju lejon të zëvendësoni kodin tuaj SQL. Problemi prek aplikacionet që përdorin të dhëna të jashtme të paverifikuara në parametrat e llojit dhe të emrit të kërkimit që i kalohen funksioneve Trunc(lloj) dhe Extract(lookup_name). Programet që lejojnë vetëm të dhëna të verifikuara në emrin e kërkimit dhe vlerat e llojit nuk preken nga cenueshmëria.
Problemi u bllokua duke ndaluar përdorimin e karaktereve të tjera përveç shkronjave, numrave, "-", "_", "(" dhe ")" në argumentet e funksioneve Extract dhe Trunc. Më parë, kuota e vetme nuk ishte prerë në vlerat e transmetuara, gjë që bëri të mundur ekzekutimin e konstrukteve tuaja SQL duke kaluar vlera si "dita' FROM start_datetime)) OSE 1=1;—" dhe "viti", start_datetime) ) OSE 1=1;—“. Në versionin tjetër 4.1, është planifikuar të forcohet më tej mbrojtja e metodave të nxjerrjes dhe shkurtimit të datave, por ndryshimet e bëra në API do të çojnë në një prishje të përputhshmërisë me bazën e bazës së të dhënave të palëve të treta.
Burimi: opennet.ru
