開源 Python 網路框架程式庫專案 Django，日前推出更新版本，修復一個嚴重資安漏洞 CVE-2022-34265，駭侵者可利用該漏洞來進行指令注入；由於使用 Django 的網站與網路應用程式多，用戶應立即更新以修補該漏洞。

CVE-2022-34265 由資安廠商 Aeye Security Lab 旗下的資安專家 Takuto Yoshikai 發現，漏洞係存於 Django 的主要分支、版本 4.1 beta、4.0 與 3.2 之中，該漏洞屬於 SQL 資料庫指令注入漏洞，駭侵者可透過傳入特定的 Trunc(kind) 和 Extract(lookup_name) 參數誘發此漏洞，並且注入指令進行攻擊。

該漏洞的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分），危險程度評級則為「嚴重」（Critical）等級。

不過 Django 表示，就算用戶採用的是有此漏洞的版本，如果用戶的網站與應用程式有針對 lookup name 與 kind 選擇進行輸入檢查限制，就可能不受此漏洞的影響，因為駭侵者將無法傳送惡意參數。

Django 於近日推出的 Django 4.0.6、Django 3.2.14，已將此 CVE-2022-34265 漏洞修補完成；另外針對主要分支、4.1、4.0、3.2 等舊版也推出修補工具。

由於採用 Django 框架開發的網站和網路應用程式非常多，如果有駭侵者大規模利用此漏洞發動攻擊，可能帶來很大的損失；因此採用 Django 的開發者與網站管理者，應對上線產品進行徹底檢查與必要的升級或修補，以避免遭到攻擊，造成損失。