Magas besorolású SQL injection sebezhetőséget (CVE-2022-34265) fedeztek fel a Djangóban, amely egy népszerű nyílt forráskódú, Python-alapú webes keretrendszer. Javítás a Django 4.0.6 és 3.2.14 verzióiban érhető el.
A sérülékenységről szóló biztonsági közlemény szerint a sebezhetőség a Trunc() és az Extract() adatbázis függvényekben rejlik, és úgy használható ki, ha nem megbízható adatokat használnak a kind/lookup_name értékként. Azokat az alkalmazások, amelyek ismert biztonságos listákra hagyatkoznak, nem érintettek a sérülékenységben.
Ezen felül a Django fejlesztőcsapata a Database API metódusaiban is felfedezett néhány problémát, amelyeket a ─ jelenleg még csak béta verzióban működő ─ Django 4.1-es végleges verziójában igyekeznek majd javítani. Addig is érdemes az ideiglenes megoldásként kiadott biztonsági frissítések telepítése.
