OpenForum RSS: Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода https://opennet.dev/openforum/vsluhforumID3/127920.html Опубликованы корректирующие выпуски web-фреймворка Django 4.0.6 и 3.2.14, в которых устранена уязвимость (CVE-2022-34265), потенциально позволяющая выполнить подстановку своего SQL-кода. Проблема затрагивает приложения, использующие непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Программы, которые допускают в значениях lookup_name и kind только проверенные данные уязвимость не затрагивает...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57452<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#68 Sat, 09 Jul 2022 14:02:13 GMT &gt; позволяло выполнить подстановку чего-нибудь нехорошего<br><br>Не понял, ты на код глазами смотришь или чем? Про возможность эскейпинга подставляемых значений безо всяких ормов что-нибудь слышал?<br> Уязвимость в web-фреймворке Django, которая может привести к... (Онаним) https://opennet.dev/openforum/vsluhforumID3/127920.html#67 Thu, 07 Jul 2022 21:03:13 GMT Ха. Да. Дальше второй формы уходить - это уже для особых случаев. Когда не жалко.<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#66 Thu, 07 Jul 2022 15:38:38 GMT &gt;Вы что-то делаете не так.<br><br>Да, я, например, хочу строить запросы одинаково на любом рантайме.<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#65 Thu, 07 Jul 2022 11:49:10 GMT Так его так и не доснимали же ...<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#64 Thu, 07 Jul 2022 11:43:06 GMT Достижение, что наконец-то лидерство какого-то говнянеького фреймворка начинает шататься.<br>Вопрос только, что где что-то можное современное молодежное с асинхроньщиной и поэтессами =)<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#63 Thu, 07 Jul 2022 11:41:54 GMT В эксплоит. Эксплоит тебе придеться купить.<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#62 Wed, 06 Jul 2022 17:08:58 GMT Разве что, чуточку. Но в SQL это выглядело не лучше и позволяло выполнить подстановку чего-нибудь нехорошего в 5 местах, а тут не получится.<br> Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#61 Wed, 06 Jul 2022 16:50:18 GMT &gt; всё норм, ничего не бомбит<br><br>особенно тут:<br>&gt; where(text("key and json_type(key) == 'integer' and type=='object'")) Уязвимость в web-фреймворке Django, которая может привести к... (Аноним) https://opennet.dev/openforum/vsluhforumID3/127920.html#60 Wed, 06 Jul 2022 14:45:36 GMT Ратс не нужен забудь про него плз. <br>