Примечания к выпуску Django 3.2.13¶

11 апреля 2022 года

Django 3.2.13 исправляет две проблемы безопасности со степенью серьезности «высокая» в 3.2.12 и регрессию в 3.2.4.

CVE-2022-28346: Потенциальная SQL-инъекция в `QuerySet.annotate()`, `aggregate()` и `extra()`¶

Методы QuerySet.annotate(), aggregate() и extra() были подвержены SQL-инъекции в псевдонимы столбцов, используя соответствующим образом составленный словарь с расширением словаря в качестве **kwargs, передаваемого этим методам.

CVE-2022-28347: потенциальная SQL-инъекция через `QuerySet.explain(**options)` в PostgreSQL¶

Метод QuerySet.explain() был подвержен SQL-инъекции в именах опций, используя в качестве аргумента **options подходящий словарь с расширением словаря.

Исправления¶

Исправлена регрессия в Django 3.2.4, из-за которой автозагрузка больше не обнаруживала изменения, когда опция DIRS параметра TEMPLATES содержала пустую строку (#33628).

Примечания к выпуску Django 3.2.14

Примечания к выпуску Django 3.2.12

Вернуться на верх

Примечания к выпуску Django 3.2.13¶

CVE-2022-28346: Потенциальная SQL-инъекция в `QuerySet.annotate()`, `aggregate()` и `extra()`¶

CVE-2022-28347: потенциальная SQL-инъекция через `QuerySet.explain(**options)` в PostgreSQL¶

Исправления¶

Django 3.2

Содержание

Дополнительно

Вы здесь:

Примечания к выпуску Django 3.2.13¶

CVE-2022-28346: Потенциальная SQL-инъекция в QuerySet.annotate(), aggregate() и extra()¶

CVE-2022-28347: потенциальная SQL-инъекция через QuerySet.explain(**options) в PostgreSQL¶

Исправления¶

Django 3.2

Содержание

Дополнительно

Вы здесь:

CVE-2022-28346: Потенциальная SQL-инъекция в `QuerySet.annotate()`, `aggregate()` и `extra()`¶

CVE-2022-28347: потенциальная SQL-инъекция через `QuerySet.explain(**options)` в PostgreSQL¶