◽️ بنیاد نرم‌افزار جنگو (DSF) یک به‌روز‌رسانی امنیتی برای نسخه‌های 4.2، 5.1 و 5.2 را منتشر کرده است چرا که متدهای QuerySet.filter, exclude, get و کلاس Q در برابر آرگومان _connector با یک دیکشنری خاص، دچار آسیب‌پذیری SQL Injection می‌شوند. ⚠️ این آسیب‌پذیری «سطح بالا» ارزیابی شده و مهاجم می‌تواند پرس‌وجوهای SQL دلخواه اجرا کند، به داده‌های حساس دسترسی یابد یا کنترل پایگاه داده را در دست گیرد. به توجه به استفاده زیاد از این فریمورک در سامانه‌ها و API‌ها این آسیب‌پذیری مخاطرات جدی را در پی خواهد داشت. ✳️ توصیه‌ها: - بلافاصله نسخه جنگوی خود را به حداقل یکی از نسخه‌های پچ‌شده (4.2.26، 5.1.14، 5.2.8) ارتقا دهید. - دسترسی به متدهای QuerySet را محدود کنید و لاگ درخواست‌های مشکوک را فعال نمایید. - به منظور جلوگیری از این حملات WAF را در لبه به‌کار ببرید.