Joel Saunders

**Nome do software vulnerável e versões afetadas** Versões do Django 3.1.x a 3.1.12 Versões do Django 3.2.x a 3.2.4 **Descrição** A vulnerabilidade está relacionada à função `QuerySet.order by()` na plataforma de aplicações web Django, que não protege adequadamente a estrutura da consulta SQL. Isso permite a injeção de SQL se o parâmetro `order by` for baseado em entradas não confiáveis de um cliente. A exploração desse problema pode permitir que um invasor remoto execute comandos arbitrários. **Recomendações** Para as versões do Django 3.1.x a 3.1.12, atualize para a versão 3.1.13 ou posterior. Para as versões 3.2.x a 3.2.4 do Django, atualize para a versão 3.2.5 ou posterior. Como solução temporária, considere validar e sanitizar qualquer entrada não confiável usada no parâmetro `order by` para evitar ataques de injeção de SQL. Restrinja o acesso à função `QuerySet.order by()` para minimizar o risco de exploração.