O Django é uma framework web desenvolvida em Python, onde foi encontrada uma falha de sql injection, seguida pelo CVE-2022-34265.
A falha existia nas funções de base de dados Trunc() e Extract(), podendo ser explorada através do valor kind/lookup_name. Como o normal, a falha residia na falta de sanitização do input aa partir deste mesmo valor
Versão vulnerável
4.0.5
Versão corrigida
4.0.6
Como atualizar para a versão mais recente: https://docs.djangoproject.com/en/4.0/howto/upgrade-version/
Opmerkingen