今天Django团队发布了Django4.0.6和Django3.2.14版本,解决了一个高严重性的SQL注入漏洞,并催促开发人员尽快升级或修补他们的Django实例。该漏洞分配给CVE-2022-34265,允许威胁参与者通过提供给Trunc(kind)和Extract(lookup_name)函数的参数来攻击Django Web应用程序。
“如果将不受信任的数据用作kind/lookup_name值,Trunc()和Extract()数据库函数就会受到SQL注入的影响,”该公告称。“将查找名称和种类选择限制到已知安全列表的应用程序不受影响。”换句话说,如果您的应用程序在将这些参数传递给Trunc和Extract函数之前执行某种类型的输入清理或转义,那么它就不会受到攻击。Aeye安全实验室的研究员Takuto Yoshikai因负责任地报告了该漏洞而受到赞誉。