Седрик Крейер обнаружил уязвимость в Python-SQL, в которой не производится экранирование невыражений для унарных операторов, что делает системы уязвимыми для SQL-инъекций. Уязвимость имеет высокое влияние на конфиденциальность и низкое влияние на целостность и доступность; балл CVSS v3.0 составляет 9,1. Известных обходных решений нет; все затронутые пользователи должны обновить Python-SQL до последней версии, так как уязвимость затрагивает версии <= 1.5.1. О проблемах с безопасностью следует сообщать в баг-трекер по адресу https://bugs.tryton.org/python-sql с отмеченной галочкой «конфиденциально».
discuss.tryton.org
Tryton News: Security Release for issue #93