Inicio

Vulnerabilidad de inyección SQL a través de Django

Recursos afectados: 
  • Rama principal de Django,
  • Django 4.1 (actualmente en estado beta),
  • Django 4.0,
  • Django 3.2.
Detalle: 

La vulnerabilidad conocida se produce a través de argumentos proporcionados a las funciones Trunc() y Extract() que permiten una vulnerabilidad de inyección de SQL si se usa datos que no son de confianza como un valor de tipo lookup_name. Se ha asignado el identificador CVE-2022-34265 para esta vulnerabilidad.

Descripción: 

El investigador Takuto Yoshikai, de Aeye Security Lab, ha informado de una posible vulnerabilidad de inyección SQL en Django, un conocido framework de desarrollo web basado en Python. Un atacante podría aprovechar esta vulnerabilidad para efectuar ataques de inyección SQL en páginas web desarrolladas con este framework.

Solución: 

Django ha publicado las versiones 4.0.6 y 3.2.14 para solucionar esta vulnerabilidad.

Además, se han publicado parches en la rama principal de Django y en las ramas de las versiones 4.1, 4.0 y 3.2:

  • En la rama principal,
  • En la rama de versión 4.1,
  • En la rama de versión 4.0,
  • En la rama de versión 3.2.
Preguntada on 05/07/2022 en N1-CRITICA.
Agregar Comentario
Cancel
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.