Django – dự án web dựa trên mã nguồn mở Python vừa phát hành phiên bản mới vá lỗ hổng nghiêm trọng. CVE-2022-34265 là lỗ hổng SQL Injection tồn tại trong nhánh chính của Django và các phiên bản 4.1 (hiện đang ở phiên bản beta), 4.0 và 3.2. Các phiên bản mới vá lỗi mới được phát hành sẽ giải quyết lỗ hổng này.
Theo một số ước tính, hàng chục nghìn trang web, bao gồm website của một số thương hiệu phổ biến ở Mỹ, sử dụng Django làm Model-Template-View. Đó cũng là lý do tại sao việc nâng cấp hoặc vá các phiên bản Django là rất quan trọng.
Các phiên bản mới giảm thiểu nguy cơ tấn công SQL Injection
Hôm qua, nhóm Django đã phát hành phiên bản Django 4.0.6 và Django 3.2.14 giải quyết lỗ hổng SQL injection ở mức độ nghiêm trọng cao và đang kêu gọi các nhà phát triển nâng cấp hoặc vá càng sớm càng tốt.
CVE-2022-34265 là lỗ hổng có thể cho phép kẻ xấu tấn công các ứng dụng web Django thông qua các đối số được cung cấp cho các chức năng Trunc (kind) và Extract (lookup_name).
“Các hàm cơ sở dữ liệu Trunc () và Extract () sẽ phải đối mặt với nguy cơ tấn công SQL injection nếu dữ liệu không đáng tin cậy được sử dụng như một giá trị type / lookup_name”.
“Các ứng dụng giới hạn tên tra cứu và lựa chọn loại theo danh sách an toàn sẽ không bị ảnh hưởng”.
Nói cách khác, ứng dụng không dễ bị tấn công nếu đang thực hiện một số kiểu kiểm duyệt đầu vào hoặc thoát trước khi chuyển các đối số này đến các hàm Trunc và Extract.
Đối với những người không thể nâng cấp lên phiên bản Django 4.0.6 hoặc 3.2.14, hãng đã cung cấp các bản vá có thể áp dụng cho các phiên bản bị ảnh hưởng hiện có.
Theo Bleeping computer