Django最新版本中修补了一个高危漏洞。其中为CVE-2022-34265,潜在的SQL注入漏洞存在于Django的主分支以及版本4.1(当前处于测试阶段)、4.0和3.2中。
今天发布的新版本和补丁可以修复该漏洞。据估计,数以万计的网站,其中包括一些流行品牌,都选择了Django作为其Model-Template-View框架的选择。这就是导致需要针对此类错误升级或修补Django实例至关重要的原因。
新版本缓解了潜在的SQL注入
今天Django团队发布了Django4.0.6和Django3.2.14版本,解决了一个高严重性的SQL注入漏洞,并催促开发人员尽快升级或修补他们的Django实例。该漏洞分配给CVE-2022-34265,允许威胁参与者通过提供给Trunc(kind)和Extract(lookup_name)函数的参数来攻击Django Web应用程序。
“如果将不受信任的数据用作kind/lookup_name值,Trunc()和Extract()数据库函数就会受到SQL注入的影响,”该公告称。“将查找名称和种类选择限制到已知安全列表的应用程序不受影响。”换句话说,如果您的应用程序在将这些参数传递给Trunc和Extract函数之前执行某种类型的输入清理或转义,那么它就不会受到攻击。Aeye安全实验室的研究员Takuto Yoshikai因负责任地报告了该漏洞而受到赞誉。
-
在主分支上 -
在4.1发布分支上 -
在4.0发布分支上 -
在3.2发布分支上
原文始发于微信公众号(雾晓安全):Django在新版本中修复了SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论