Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2.

Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django.

Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name).

«Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены».

Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки,  для 4.1, для 4.0 и для 3.2.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии