Примечания к выпуску Django 3.0.4¶

CVE-2020-9402: Потенциальная SQL-инъекция через параметр tolerance в функциях и агрегатах GIS на Oracle¶

Функции и агрегаты ГИС на Oracle были подвержены SQL-инъекции с использованием соответствующим образом составленного tolerance.

Исправления¶

• Исправлена возможность потери данных при использовании кэширования из асинхронного кода (#31253).
• Исправлена регрессия в Django 3.0, из-за которой ответ файла, использующего временный файл, закрывался некорректно (#31240).
• Исправлена возможность потери данных в select_for_update(). При использовании связанных полей или полей родительской ссылки с Мультитабличное наследование в аргументе of соответствующие модели не блокировались (#31246).
• Исправлена регрессия в Django 3.0, которая приводила к неправильному расположению параметров в регистрируемых SQL-запросах на Oracle (#31271).
• Исправлена регрессия в Django 3.0.3, которая приводила к неправильному расположению параметров SQL-запросов при вычитании выражений DateField или DateTimeField на MySQL (#31312).
• Исправлена регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения, в предложение GROUP BY (#31150).