Django 4.0.4发行说明

April 11, 2022

Django 4.0.4修复了严重程度“高”的两个安全问题和4.0.3中的两个错误。

CVE-2022-28346:潜在的SQL注入 QuerySet.annotate()aggregate() ,以及 extra()

QuerySet.annotate()aggregate() ,以及 extra() 方法受到列别名中的SQL注入的影响,使用适当构造的字典,并带有字典扩展,因为 **kwargs 传递给这些方法。

CVE-2022-28347:潜在的SQL注入通过 QuerySet.explain(**options) 关于PostgreSQL

QuerySet.explain() 方法受到选项名称中的SQL注入的影响,该方法使用适当构造的字典并带有字典扩展,因为 **options 争论。

错误修正

  • 修复了Django 4.0中导致忽略多个 FilteredRelation() 与同一领域的关系 (#33598 )。

  • 修复了Django 3.2.4中的一个回归,该回归导致自动重新加载程序不再检测到 DIRS 选项中的 TEMPLATES 设置包含空字符串 (#33628 )。

« previous | up | next »