El proyecto Django, un marco web de código abierto basado en Python, ha reparado una vulnerabilidad de alta gravedad en sus últimas versiones.
Rastreada como CVE-2022-34265, la vulnerabilidad potencial de inyección de SQL existe en la rama principal de Django y en las versiones 4.1 (actualmente en versión beta), 4.0 y 3.2. Los nuevos lanzamientos y parches emitidos hoy eliminan la vulnerabilidad.
Decenas de miles de sitios web, incluidas algunas marcas populares solo en los EE. UU., eligen Django como su marco Modelo-Plantilla-Vista, según algunas estimaciones . Esta es la razón por la cual la necesidad de actualizar o parchear sus instancias de Django contra errores como estos es crucial.
Los nuevos lanzamientos mitigan la posible inyección de SQL
Hoy, el equipo de Django ha lanzado las versiones Django 4.0.6 y Django 3.2.14 que abordan una vulnerabilidad de inyección SQL de alta gravedad e insta a los desarrolladores a actualizar o parchear sus instancias de Django lo antes posible.
Asignado CVE-2022-34265, la vulnerabilidad puede permitir que un actor de amenazas ataque las aplicaciones web de Django a través de argumentos proporcionados a las funciones Trunc (tipo) y Extract (lookup_name).
«Las funciones de base de datos Trunc() y Extract() estaban sujetas a la inyección de SQL si se usaban datos que no eran de confianza como un valor de tipo/nombre de búsqueda», afirma el aviso.
«Las aplicaciones que restringen el nombre de búsqueda y la elección de tipo a una lista segura conocida no se ven afectadas».
En otras palabras, su aplicación no es vulnerable si está realizando algún tipo de desinfección de entrada o escapando antes de pasar estos argumentos a las funciones Trunc y Extract.
Se le atribuye al investigador Takuto Yoshikai de Aeye Security Lab el informe responsable de la vulnerabilidad.
Parches también disponibles
Para aquellos que no pueden actualizar a las versiones fijas de Django 4.0.6 o 3.2.14, el equipo ha puesto a disposición parches que se pueden aplicar a las versiones afectadas existentes.
- En la rama principal
- En la rama de versión 4.1
- En la rama de versión 4.0
- En la rama de versión 3.2
«Esta versión de seguridad mitiga el problema, pero hemos identificado mejoras en los métodos de la API de la base de datos relacionados con la extracción y el truncado de fechas que sería beneficioso agregar a Django 4.1 antes de [su] versión final», afirma además el equipo de Django.
«Esto afectará a los backends de bases de datos de terceros que utilizan la versión candidata 1 o posterior de Django 4.1, hasta que puedan actualizar los cambios de la API. Nos disculpamos por las molestias».
La política de seguridad de Django establece que cualquier posible problema de seguridad se informe de forma privada por correo electrónico a [email protected], en lugar de utilizar la instancia Trac de Django o las listas de correo públicas.
Fuente: https://www.bleepingcomputer.com
