CVE-2022-34265 è una nuova vulnerabilità ad alta gravità nel progetto Django, un framework Web open source basato su Python. La vulnerabilità è stata segnalata da Takuto Yoshikai da Aeye Security Lab.
CVE-2022-34265: Breve Panoramica tecnica
La vulnerabilità è stata corretta in Django 4.0.6 e Django 3.2.14 che affrontano il problema della sicurezza. Gli utenti di Django dovrebbero aggiornare il prima possibile alle ultime versioni.
La vulnerabilità è stata descritta come una potenziale SQL injection che potrebbe essere attivata tramite Trunc(genere) ed Estrai(ricerca_nome) argomenti.
“Trunc() ed Estrai() le funzioni del database erano soggette a SQL injection se i dati non attendibili venivano usati come valore tipo/lookup_name. Le applicazioni che vincolano il nome di ricerca e la scelta del tipo a un elenco sicuro noto non sono interessate,” l'avviso ufficiale noto.
La versione di sicurezza attenua la vulnerabilità, ma la società afferma di aver identificato miglioramenti ai metodi dell'API del database relativi all'estrazione e al troncamento della data che sarebbe vantaggioso aggiungere a Django 4.1 prima del suo rilascio definitivo.
Questa azione avrà un impatto sui backend di database di terze parti che eseguono Django 4.1 candidato al rilascio 1 o più recente, fino a quando non saranno in grado di eseguire l'aggiornamento alle modifiche dell'API.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi:
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
Il kanji del cognome di Yoshikai-san è 吉開, non 吉海. Per favore, aggiustalo per lui.