Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django

Вт 5 Июль 2022 14:23

Django - это бесплатный веб-фреймворк с открытым исходным кодом на основе языка Python, который следует паттерну "Model-Template-View" (MTV). Django поддерживается независимой организацией Django Software Foundation.

Уязвимость была исправлена в последних версиях фреймворка – 4.0.6 и 3.2.14 . Отслеживаемая как CVE-2022-34265 , уязвимость представляет собой SQL-инъекцию. Согласно сообщению разработчиков уязвимость кроется в функциях Trunc() и Extract(), и может быть использована, если в качестве значения kind/lookup_name использовались недостоверные данные. Выполнив очистку входных данных для этих функций, можно снизить риск эксплуатации уязвимости.

Команда разработчиков также выпускает исправления безопасности в качестве временных решений перед обновлением до последних версий.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 260 дней 11 минут 12 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.