Примечания к выпуску Django 3.1.13

1 июля 2021 года

Django 3.1.13 исправляет проблему безопасности со степенью серьезности «высокая» в версии 3.1.12.

CVE-2021-35042: Потенциальная SQL-инъекция через несанированный ввод QuerySet.order_by()

Несанированный пользовательский ввод, переданный в QuerySet.order_by(), может обойти предусмотренную проверку ссылок на столбцы в путях, помеченных на устаревание, что приводит к потенциальной SQL-инъекции, даже если выдается предупреждение об устаревании.

В качестве смягчения была восстановлена строгая валидация ссылок на столбцы на весь период амортизации. Эта регрессия появилась в версии 3.1 как побочный эффект исправления #31426.

Проблема отсутствует в основной ветке, так как устаревший путь был удален.

Вернуться на верх