CVE-2022-34265 es una nueva vulnerabilidad de alta gravedad en el proyecto Django, un marco web de código abierto basado en Python. La vulnerabilidad ha sido reportada por Takuto Yoshikai de Aeye Security Lab.
CVE-2022-34265: Breve descripción técnica
La vulnerabilidad ha sido corregida en Django. 4.0.6 y Django 3.2.14 que abordan el tema de la seguridad. Los usuarios de Django deben actualizar lo antes posible a las últimas versiones.
La vulnerabilidad se ha descrito como una posible inyección SQL que podría activarse a través de Trunc(tipo) y Extraer(buscar_nombre) argumentos.
“Trunc() y Extraer() las funciones de la base de datos estaban sujetas a la inyección SQL si se usaban datos que no eran de confianza como un valor de tipo/nombre_de_búsqueda. Las aplicaciones que restringen el nombre de búsqueda y la elección de tipo a una lista segura conocida no se ven afectadas,” el aviso oficial célebre.
La versión de seguridad mitiga la vulnerabilidad., pero la compañía dice que han identificado mejoras en los métodos de la API de la base de datos relacionados con la extracción y el truncamiento de fechas que sería beneficioso agregar a Django. 4.1 antes de su lanzamiento final.
Esta acción afectará a los backends de bases de datos de terceros que ejecutan Django. 4.1 candidato de lanzamiento 1 o mas nuevo, hasta que puedan actualizar los cambios de la API.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
El kanji del apellido de Yoshikai-san es 吉開, no. Por favor, arréglalo para él..