Djangoプロジェクトは7月4日、Pythonで開発されたWebアプリケーションフレームワークの「Django」の最新版となるDjango 4.0.6およびDjango 3.2.14をリリースした。このリリースでは、極めて重要度が高いとされるSQLインジェクションの脆弱性に対する修正が行われている。

この脆弱性を悪用されると、攻撃者によって影響を受けるシステム上で任意のSQLクエリを実行される危険性があるという。アップデートに関する情報は、Djangoプロジェクトの次のリリースノートにまとめられている。

  • Django 4.0.6 release notes

    Django 4.0.6 release notes

該当する脆弱性はCVE-2022-34265として追跡されている。この脆弱性はデータベース関数のTrunc()およびExtract()に存在するもので、任意のSQLクエリを含む信頼できないデータがkindおよびlookup_name値として渡された場合に、そのクエリが実行される可能性があるという。

Django 4.0.5以前のバージョン4.0系およびDjango 3.2.13以前のバージョン3.2系がCVE-2022-34265の影響を受ける。脆弱性の深刻度は「緊急」とされており、早急にアップデートを適用することが推奨されている。