CVE-2022-34265 é uma nova vulnerabilidade de alta gravidade no projeto Django, uma estrutura da Web baseada em Python de código aberto. A vulnerabilidade foi relatada por Takuto Yoshikai do Laboratório de Segurança Aeye.
CVE-2022-34265: Curto Visão geral técnica
A vulnerabilidade foi corrigida no Django 4.0.6 e Django 3.2.14 que abordam a questão da segurança. Os usuários do Django devem atualizar o mais rápido possível para as versões mais recentes.
A vulnerabilidade foi descrita como uma potencial injeção de SQL que pode ser acionada via Trunc(tipo) e Extrair(nome_pesquisa) argumentos.
“Truncar() e Extrair() as funções do banco de dados estavam sujeitas a injeção de SQL se dados não confiáveis fossem usados como um valor kind/lookup_name. Os aplicativos que restringem o nome de pesquisa e a escolha de tipo a uma lista segura conhecida não são afetados,” a assessoria oficial notado.
A versão de segurança atenua a vulnerabilidade, mas a empresa diz que identificou melhorias nos métodos da API de banco de dados relacionados à extração e truncado de data que seriam benéficos para adicionar ao Django 4.1 antes de seu lançamento final.
Esta ação afetará os backends de banco de dados de terceiros que executam o Django 4.1 candidato a lançamento 1 ou mais recente, até que eles possam atualizar para as alterações da API.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
「吉海拓人」ではなく、「吉開拓人」さんですね。よかったら直してください。
O kanji do nome da família de Yoshikai-san é 吉開, não 吉海. Por favor, conserte isso para ele.