• 6.1
  • Версия документации: 3.1

Примечания к выпуску Django 5.2.7

1 октября 2025 г.

В Django 5.2.7 исправлена ​​одна проблема безопасности с «высоким уровнем серьезности», одна проблема безопасности с «низким уровнем серьезности» и одна ошибка в версии 5.2.6. Кроме того, включены последние переводы строк от Transifex.

CVE-2025-59681: потенциальное внедрение SQL в QuerySet.annotate(), alias(), aggregate() и extra() в MySQL и MariaDB.

Методы QuerySet.annotate(), alias(), aggregate() и extra() подвергались SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку **kwargs передавался этим методам (см. CVE 2022-28346).

CVE-2025-59682: Потенциальный частичный обход каталога с помощью archive.extract().

Функция django.utils.archive.extract(), используемая startapp --template и startproject --template, допускала частичный обход каталога через архив с путями к файлам, имеющими общий префикс с целевым каталогом (следуйте CVE 2021-3281).

Исправления

  • Исправлена ​​регрессия в Django 5.2, из-за которой уменьшался цветовой контраст выбранной метки виджетов filter_horizontal и filter_vertical внутри TabularInline (:ticket:36601).

Back to Top