Súlyos hibát fedeztek fel a Django webes keretrendszerben, javasolt mielőbb frissíteni!

 

Magas besorolású SQL injection sebezhetőséget (CVE-2022-34265) fedeztek fel a Djangóban, amely egy népszerű nyílt forráskódú, Python-alapú webes keretrendszer. Javítás a Django 4.0.6 és 3.2.14 verzióiban érhető el.

A sérülékenységről szóló biztonsági közlemény szerint a sebezhetőség a Trunc() és az Extract() adatbázis függvényekben rejlik, és úgy használható ki, ha nem megbízható adatokat használnak a kind/lookup_name értékként. Azokat az alkalmazások, amelyek ismert biztonságos listákra hagyatkoznak, nem érintettek a sérülékenységben.

Ezen felül a Django fejlesztőcsapata a Database API metódusaiban is felfedezett néhány problémát, amelyeket a ─ jelenleg még csak béta verzióban működő ─ Django 4.1-es végleges verziójában igyekeznek majd javítani. Addig is érdemes az ideiglenes megoldásként kiadott biztonsági frissítések telepítése.

 (securityaffairs.co)