Django veb-ramkaning 4.0.6 va 3.2.14 tuzatuvchi relizlari chop etildi, ular zaiflikni (CVE-2022-34265) tuzatadi, bu sizning SQL kodingizni almashtirishga imkon beradi. Muammo Trunc(tur) va Extract(lookup_name) funksiyalariga o‘tkazilgan turdagi va qidiruv_nomi parametrlarida tasdiqlanmagan tashqi ma’lumotlardan foydalanadigan ilovalarga ta’sir qiladi. Qidiruv_nomi va turdagi qiymatlarida faqat tasdiqlangan ma'lumotlarga ruxsat beruvchi dasturlar zaiflikdan ta'sirlanmaydi.
Extract va Trunc funksiyalarining argumentlarida harflar, raqamlar, “-“, “_”, “(” va “)” dan boshqa belgilardan foydalanishni taqiqlash orqali muammo bloklandi. Ilgari uzatilgan qiymatlarda bitta tirnoq kesilmagan, bu esa “kun” FROM start_datetime)) YOKI 1=1;—” va “yil”, start_datetime) kabi qiymatlarni o‘tkazish orqali SQL konstruksiyalaringizni bajarishga imkon berdi. ) YOKI 1=1;—“. Keyingi 4.1 versiyasida sanani ajratib olish va kesish usullarini himoya qilishni yanada kuchaytirish rejalashtirilgan, ammo API-ga kiritilgan o'zgartirishlar uchinchi tomon ma'lumotlar bazasi backendlari bilan muvofiqlikning buzilishiga olib keladi.
Manba: opennet.ru