CVE-2022-34265は、Djangoプロジェクトの新しい重大度の高い脆弱性です, オープンソースのPythonベースのWebフレームワーク. 脆弱性はによって報告されています 吉海拓人 AeyeSecurityLabから.
CVE-2022-34265: 短い技術概要
脆弱性はDjangoで修正されました 4.0.6 とDjango 3.2.14 セキュリティの問題に対処します. Djangoユーザーは、できるだけ早く最新リリースに更新する必要があります.
この脆弱性は、Truncを介してトリガーされる可能性のある潜在的なSQLインジェクションとして説明されています(親切) と抽出(lookup_name) 引数.
「トランク() と抽出() 信頼できないデータがkind/lookup_name値として使用された場合、データベース関数はSQLインジェクションの対象となりました. ルックアップ名と種類の選択を既知のセーフリストに制限するアプリケーションは影響を受けません,」公式アドバイザリー 了解しました.
セキュリティリリースは脆弱性を軽減します, しかし、同社は、Djangoに追加するのに有益な日付の抽出と切り捨てに関連するデータベースAPIメソッドの改善を特定したと述べています 4.1 最終リリース前.
このアクションは、Djangoを実行しているサードパーティのデータベースバックエンドに影響を与えます 4.1 リリース候補版 1 以上, APIの変更を更新できるようになるまで.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください:
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
The kanji of Yoshikai-san’s family name is 吉開, not 吉海. Please fix it for him.