Примечания к выпуску Django 2.2.28

11 апреля 2022 года

Django 2.2.28 исправляет две проблемы безопасности со степенью серьезности «высокая» в версии 2.2.27.

CVE-2022-28346: Потенциальная SQL-инъекция в QuerySet.annotate(), aggregate() и extra()

Методы QuerySet.annotate(), aggregate() и extra() были подвержены SQL-инъекции в псевдонимы столбцов, используя соответствующим образом составленный словарь с расширением словаря в качестве **kwargs, передаваемого этим методам.

CVE-2022-28347: потенциальная SQL-инъекция через QuerySet.explain(**options) в PostgreSQL

Метод QuerySet.explain() был подвержен SQL-инъекции в именах опций, используя в качестве аргумента **options подходящий словарь с расширением словаря.

Вернуться на верх