NVD Vulnerability Detail

CVE-2022-34265

Summary	An issue was discovered in Django 3.2 before 3.2.14 and 4.0 before 4.0.6. The Trunc() and Extract() database functions are subject to SQL injection if untrusted data is used as a kind/lookup_name value. Applications that constrain the lookup name and kind choice to a known safe list are unaffected.
Publication Date	July 5, 2022, 1:15 a.m.
Registration Date	July 5, 2022, 10 a.m.
Last Update	Nov. 21, 2024, 4:09 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	https://docs.djangoproject.com/en/4.0/releases/security/	Patch Vendor Advisory
2	https://docs.djangoproject.com/en/4.0/releases/security/	Patch Vendor Advisory
3	https://groups.google.com/forum/#%21forum/django-announce
4	https://groups.google.com/forum/#%21forum/django-announce
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/
7	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/
8	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/
9	https://security.netapp.com/advisory/ntap-20220818-0006/	Third Party Advisory
10	https://security.netapp.com/advisory/ntap-20220818-0006/	Third Party Advisory
11	https://www.debian.org/security/2022/dsa-5254	Third Party Advisory
12	https://www.debian.org/security/2022/dsa-5254	Third Party Advisory
13	https://www.djangoproject.com/weblog/2022/jul/04/security-releases/	Patch Vendor Advisory
14	https://www.djangoproject.com/weblog/2022/jul/04/security-releases/	Patch Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html

JVN Vulnerability Information

Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性

Title	Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性
Summary	Django Software Foundation が提供する Django は、Web アプリケーションフレームワークです。Django の日付操作用の Extract 関数および Trunc 関数には、SQL インジェクション (CWE-89) の脆弱性が存在します。この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。報告者: 株式会社エーアイセキュリティラボ吉開拓人氏
Possible impacts	第三者によって、Django を利用して構築された Web サイト内のデータが改ざんされたり、消去されたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	July 12, 2022, midnight
Registration Date	July 12, 2022, 12:02 p.m.
Last Update	June 18, 2024, 11:56 a.m.

Affected System

Django Software Foundation

Django 3.2

Django 4.0

Django 4.1 (現在ベータ版)

Django メイン開発ブランチ

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-34265	https://www.cve.org/CVERecord?id=CVE-2022-34265
National Vulnerability Database (NVD)
2	CVE-2022-34265	https://nvd.nist.gov/vuln/detail/CVE-2022-34265

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
Django Software Foundation
1	Django security releases issued: 4.0.6 and 3.2.14	https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
2	Download	https://www.djangoproject.com/download/

その他

No	Name	URL
JVN
1	JVN#12610194	https://jvn.jp/jp/JVN12610194/index.html

Change Log

No	Changed Details	Date of change
1	[2022年07月12日] 掲載	July 6, 2022, 4:16 p.m.
2	[2024年06月18日] 参考情報：National Vulnerability Database (NVD) (CVE-2022-34265) を追加	June 18, 2024, 11:52 a.m.