CVE-2022-34265 est une nouvelle vulnérabilité de haute gravité dans le projet Django, un framework web open-source basé sur Python. La vulnérabilité a été signalée par Takuto Yoshikai du laboratoire de sécurité Aeye.
CVE-2022-34265: Bref aperçu technique
La vulnérabilité a été corrigée dans Django 4.0.6 et Django 3.2.14 qui traitent de la question de la sécurité. Les utilisateurs de Django doivent mettre à jour dès que possible les dernières versions.
La vulnérabilité a été décrite comme une injection SQL potentielle qui pourrait être déclenchée via Trunc(gentil) et extrait(nom_recherche) arguments.
"Tronc() et extrait() les fonctions de base de données étaient soumises à une injection SQL si des données non fiables étaient utilisées comme valeur kind/lookup_name. Les applications qui limitent le nom de recherche et le choix du type à une liste sûre connue ne sont pas affectées,” l'avis officiel c'est noté.
La version de sécurité atténue la vulnérabilité, mais la société affirme avoir identifié des améliorations aux méthodes de l'API de base de données liées à l'extraction et à la troncation de la date qu'il serait avantageux d'ajouter à Django 4.1 avant sa sortie définitive.
Cette action aura un impact sur les bases de données tierces exécutant Django 4.1 candidat à la libération 1 Ou plus récent, jusqu'à ce qu'ils soient en mesure de mettre à jour les modifications de l'API.
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
Le kanji du nom de famille de Yoshikai-san est 吉開, pas 吉海. S'il vous plaît, réparez-le pour lui.