CVE-2022-34265 er en ny højsværhedssårbarhed i Django-projektet, en open source Python-baseret webramme. Sårbarheden er rapporteret af Takuto Yoshikai fra Aeye Security Lab.
CVE-2022-34265: Korte Teknisk oversigt
Sårbarheden er rettet i Django 4.0.6 og Django 3.2.14 som løser sikkerhedsproblemet. Django-brugere bør opdatere så hurtigt som muligt til de seneste udgivelser.
Sårbarheden er blevet beskrevet som en potentiel SQL-injektion, der kunne udløses via Trunc(venlig) og uddrag(opslag_navn) argumenter.
"Trunc() og uddrag() databasefunktioner var underlagt SQL-injektion, hvis ikke-pålidelige data blev brugt som en type/opslagsnavn-værdi. Programmer, der begrænser opslagsnavnet og venlige valg til en kendt sikker liste, påvirkes ikke,” den officielle rådgivning bemærkes.
Sikkerhedsudgivelsen afbøder sårbarheden, men virksomheden siger, at de har identificeret forbedringer af database API-metoderne relateret til datoudtræk og afkortning, som ville være fordelagtige at tilføje til Django 4.1 før den endelige udgivelse.
Denne handling vil påvirke tredjeparts database-backends, der kører Django 4.1 frigivelseskandidat 1 eller nyere, indtil de er i stand til at opdatere til API-ændringerne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
Kanjien af Yoshikai-sans efternavn er 吉開, ikke 吉海. Venligst ordne det for ham.