Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a varias versiones de Django, que permitiría a un atacante realizar consultas SQL arbitrarias en la base de datos.
La vulnerabilidad identificada como CVE-2022-34265, de severidad “Alta” y con puntuación asignada de 7.9. Esta se debe a una falla en las funciones de bases de datos Trunc(kind) y Extract(lookup_name). Un atacante remoto podría ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación y obtener un control total sobre la misma.
Las versiones afectadas de Django son:
- Versiones 3.2 al 3.2.13.
- Versiones 4.0 al 4.0.5.
Se recomienda acceder a las actualizaciones en el siguiente enlace proporcionado por el proveedor:
Salto de página
Referencias: