CVE-2022-34265 is een nieuwe zeer ernstige kwetsbaarheid in het Django-project, een open-source op Python gebaseerd webframework. De kwetsbaarheid is gemeld door: Takuto Yoshikai van Aeye Security Lab.
CVE-2022-34265: Short Technisch overzicht
De kwetsbaarheid is verholpen in Django 4.0.6 en Django 3.2.14 die het beveiligingsprobleem aanpakken. Django-gebruikers moeten zo snel mogelijk updaten naar de nieuwste releases.
De kwetsbaarheid is beschreven als een potentiële SQL-injectie die kan worden geactiveerd via Trunc(soort) en extraheren(lookup_name) argumenten.
"Trunc"() en extraheren() databasefuncties waren onderhevig aan SQL-injectie als niet-vertrouwde gegevens werden gebruikt als een soort/lookup_name-waarde. Toepassingen die de opzoeknaam en soort keuze beperken tot een bekende veilige lijst, worden niet beïnvloed,het officiële advies bekend.
De beveiligingsrelease verkleint de kwetsbaarheid, maar het bedrijf zegt dat ze verbeteringen hebben geïdentificeerd aan de database-API-methoden met betrekking tot het extraheren en afkappen van datums die nuttig zouden zijn om toe te voegen aan Django 4.1 voor de definitieve release.
Deze actie is van invloed op database-backends van derden waarop Django . draait 4.1 vrijlating kandidaat 1 of nieuwer, totdat ze kunnen updaten naar de API-wijzigingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij:
「吉海拓 人」 ではなく、「吉開拓 人」 さん です です ね。よかっ たら 直し て ください。
De kanji van Yoshikai-san's familienaam is 吉開, niet. Repareer het alsjeblieft voor hem.