Примечания к выпуску Django 3.1.13¶
1 июля 2021 года
Django 3.1.13 исправляет проблему безопасности со степенью серьезности «высокая» в версии 3.1.12.
CVE-2021-35042: Потенциальная SQL-инъекция через несанированный ввод QuerySet.order_by()
¶
Несанированный пользовательский ввод, переданный в QuerySet.order_by()
, может обойти предусмотренную проверку ссылок на столбцы в путях, помеченных на устаревание, что приводит к потенциальной SQL-инъекции, даже если выдается предупреждение об устаревании.
В качестве смягчения была восстановлена строгая валидация ссылок на столбцы на время периода обесценивания. Эта регрессия появилась в версии 3.1 как побочный эффект исправления #31426.
Проблема отсутствует в основной ветке, так как устаревший путь был удален.