Примечания к выпуску Django 2.2.28¶
11 апреля 2022 г.
В Django 2.2.28 исправлены две проблемы безопасности с «высоким уровнем серьезности» в версии 2.2.27.
CVE-2022-28346: потенциальное внедрение SQL в QuerySet.annotate(), aggregate() и extra().¶
Методы QuerySet.annotate(), aggregate() и extra() подвергались SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку этим методам передавался **kwargs.
CVE-2022-28347: потенциальное внедрение SQL через QuerySet.explain(**options) в PostgreSQL.¶
Метод QuerySet.explain() подвергался внедрению SQL в имена опций с использованием специально созданного словаря с расширением словаря в качестве аргумента **options.