Vulnerabilidad de inyección SQL a través de Django

Fecha de publicación: 05/07/2022

Importancia:
Alta

Recursos afectados:

  • Rama principal de Django,
  • Django 4.1 (actualmente en estado beta),
  • Django 4.0,
  • Django 3.2.

Descripción:

El investigador Takuto Yoshikai, de Aeye Security Lab, ha informado de una posible vulnerabilidad de inyección SQL en Django, un conocido framework de desarrollo web basado en Python. Un atacante podría aprovechar esta vulnerabilidad para efectuar ataques de inyección SQL en páginas web desarrolladas con este framework.

Solución:

Django ha publicado las versiones 4.0.6 y 3.2.14 para solucionar esta vulnerabilidad.

Además, se han publicado parches en la rama principal de Django y en las ramas de las versiones 4.1, 4.0 y 3.2:

Detalle:

La vulnerabilidad conocida se produce a través de argumentos proporcionados a las funciones Trunc() y Extract() que permiten una vulnerabilidad de inyección de SQL si se usa datos que no son de confianza como un valor de tipo lookup_name. Se ha asignado el identificador CVE-2022-34265 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.