Примечания к выпуску Django 3.2.13¶
11 апреля 2022 г.
В Django 3.2.13 исправлены две проблемы безопасности с высокой степенью серьезности в версии 3.2.12 и регрессией в версии 3.2.4.
CVE-2022-28346: потенциальное внедрение SQL в QuerySet.annotate(), aggregate() и extra().¶
Методы QuerySet.annotate(), aggregate() и extra() подвергались SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку этим методам передавался **kwargs.
CVE-2022-28347: потенциальное внедрение SQL через QuerySet.explain(**options) в PostgreSQL.¶
Метод QuerySet.explain() подвергался внедрению SQL в имена опций с использованием специально созданного словаря с расширением словаря в качестве аргумента **options.
Исправления¶
Исправлена регрессия в Django 3.2.4, из-за которой автоперезагрузка больше не обнаруживала изменения, когда опция DIRS в настройке TEMPLATES содержала пустую строку (#33628).