idNSA.id - Django adalah kerangka web berbasis Python open
source dan gratis yang mengikuti pola arsitektur model–template–views (MTV).
Django dikelola oleh organisasi independen Django Software Foundation.
Rilis terbaru dari framework, Django 4.0.6 dan
3.2.14, membahas kerentanan SQL Injection tingkat tinggi yang dilacak
sebagai CVE-2022-34265.
Menurut catatan rilis, cacat tersebut berada di fungsi
database Trunc() dan Extract(), itu dapat dieksploitasi jika data yang tidak
dipercaya digunakan sebagai nilai kind/lookup_name. Melakukan sanitasi input
untuk fungsi-fungsi ini dimungkinkan untuk mengurangi risiko eksploitasi cacat.
“Fungsi database Trunc() dan Extract() tunduk pada injeksi
SQL jika data yang tidak dipercaya digunakan sebagai nilai kind/lookup_name.”
membaca keterangan. “Aplikasi yang membatasi nama pencarian dan pilihan jenis
ke daftar aman yang diketahui tidak terpengaruh.”
Tim development juga merilis patch keamanan sebagai solusi
sementara sebelum memutakhirkan ke versi terbaru.
