Примечания к выпуску Django 4.0.6¶
4 июля 2022 года
Django 4.0.6 исправляет проблему безопасности со степенью серьезности «высокая» в 4.0.5.
CVE-2022-34265: Потенциальная SQL-инъекция через аргументы Trunc(kind)
и Extract(lookup_name)
¶
Функции баз данных Trunc()
и Extract()
были подвержены SQL-инъекции, если в качестве значения kind
/lookup_name
использовались недоверенные данные.
Приложения, которые ограничивают имя поиска и выбор вида известным безопасным списком, не затрагиваются.