Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django

Django фреймворк Python уязвимость SQL-инъекция
Разработчики рекомендуют пользователям как можно скорее применить обновление, исправляющее уязвимость.

Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django

Django — это бесплатный веб-фреймворк с открытым исходным кодом на основе языка Python, который следует паттерну «Model-Template-View» (MTV). Django поддерживается независимой организацией Django Software Foundation.
Уязвимость была исправлена в последних версиях фреймворка – 4.0.6 и 3.2.14 . Отслеживаемая как CVE-2022-34265 , уязвимость представляет собой SQL-инъекцию. Согласно сообщению разработчиков уязвимость кроется в функциях Trunc() и Extract(), и может быть использована, если в качестве значения kind/lookup_name использовались недостоверные данные. Выполнив очистку входных данных для этих функций, можно снизить риск эксплуатации уязвимости.
Команда разработчиков также выпускает исправления безопасности в качестве временных решений перед обновлением до последних версий.

SECURITYLAB.RU

рейтинг: 

  • Не нравится
  • +10
  • Нравится

ПОДЕЛИТЬСЯ:
ЧИТАЙТЕ ТАКЖЕ:

Добавить комментарий

Ваш адрес email не будет опубликован.