CVE-2025-13372: Потенциальное внедрение SQL в псевдонимы столбцов FilteredRelation в PostgreSQL.¶

FilteredRelation подвергался SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку **kwargs передавался в QuerySet.annotate() или QuerySet.alias() в PostgreSQL.

CVE-2025-64460: потенциальная уязвимость типа «отказ в обслуживании» в XML-десериализаторе.¶

Сериализация XML подвергалась потенциальной атаке типа «отказ в обслуживании» из-за квадратичной временной сложности при десериализации созданных документов, содержащих множество вложенных недопустимых элементов. Внутренний помощник django.core.serializers.xml_serializer.getInnerText() ранее неэффективно накапливал внутренний текст во время рекурсии. Теперь он собирает текст для каждого элемента, избегая чрезмерного использования ресурсов.

Исправления¶

• Исправлена ​​ошибка в Django 5.2, из-за которой django.utils.feedgenerator.Stylesheet.__str__() не экранировал атрибуты url, mimetype и media, что потенциально приводило к недопустимой разметке XML (#36733).

• Исправлена ​​ошибка в Django 5.2 на PostgreSQL, из-за которой bulk_create() не применяла пользовательские заполнители запроса к полю (#36748).

• Исправлена ​​регрессия в Django 5.2.2, приводившая к сбою при использовании агрегатных функций с пустым фильтром Q для набора запросов с аннотациями (#36751).

• Исправлена ​​регрессия в Django 5.2.8, где DisallowedRedirect вызывался HttpResponseRedirect и HttpResponsePermanentRedirect для URL-адресов длиной более 2048 символов. Ограничение теперь составляет 16384 символа (#36743).

• Исправлен сбой в Python 3.14+, из-за которого функции тегов шаблона не регистрировались, когда их аннотации типов требовали отложенной оценки (#36712).