Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de inyección SQL a través de Django

Fecha de publicación 05/07/2022
Identificador

INCIBE-2022-0821

Importancia
4 - Alta
Recursos Afectados
  • Rama principal de Django,
  • Django 4.1 (actualmente en estado beta),
  • Django 4.0,
  • Django 3.2.
Descripción

El investigador Takuto Yoshikai, de Aeye Security Lab, ha informado de una posible vulnerabilidad de inyección SQL en Django, un conocido framework de desarrollo web basado en Python. Un atacante podría aprovechar esta vulnerabilidad para efectuar ataques de inyección SQL en páginas web desarrolladas con este framework.

Solución

Django ha publicado las versiones 4.0.6 y 3.2.14 para solucionar esta vulnerabilidad.

Además, se han publicado parches en la rama principal de Django y en las ramas de las versiones 4.1, 4.0 y 3.2:

Detalle

La vulnerabilidad conocida se produce a través de argumentos proporcionados a las funciones Trunc() y Extract() que permiten una vulnerabilidad de inyección de SQL si se usa datos que no son de confianza como un valor de tipo lookup_name. Se ha asignado el identificador CVE-2022-34265 para esta vulnerabilidad.

Encuesta valoración