Awọn idasilẹ atunṣe ti ilana wẹẹbu Django 4.0.6 ati 3.2.14 ti ṣe atẹjade, eyiti o ṣatunṣe ailagbara kan (CVE-2022-34265) ti o le gba ọ laaye lati paarọ koodu SQL rẹ. Ọrọ naa kan awọn ohun elo ti o lo data itagbangba ti a ko rii daju ni iru ati awọn paramita Lookup_name ti o kọja si awọn iṣẹ Trunc(Iru) ati Jade(lookup_name). Awọn eto ti o gba data idaniloju nikan ni orukọ Lookup_name ati awọn iye oninuure ko ni ipa nipasẹ ailagbara naa.
Iṣoro naa ti dina nipasẹ idinamọ lilo awọn ohun kikọ miiran ju awọn lẹta, awọn nọmba, “-“, “_”, “(” ati “)” ninu awọn ariyanjiyan ti awọn iṣẹ jade ati Trunc. Ni iṣaaju, agbasọ ẹyọkan ko ni ge ni awọn iye gbigbe, eyiti o jẹ ki o ṣee ṣe lati ṣiṣẹ awọn itumọ SQL rẹ nipa gbigbe awọn iye bii “ọjọ' FROM start_datetime)) TABI 1=1;—” ati “ọdun’, akoko_datetime) ) TABI 1=1;—“. Ninu itusilẹ atẹle ti 4.1, o ti gbero lati teramo siwaju aabo ti isediwon ọjọ ati awọn ọna gige, ṣugbọn awọn iyipada ti a ṣe si API yoo ja si didenukole ni ibamu pẹlu awọn ẹhin data ẹni-kẹta.
orisun: opennet.ru