Примечания к выпуску Django 3.2.14¶
4 июля 2022 г.
В Django 3.2.14 исправлена проблема безопасности с «высоким уровнем серьезности» в версии 3.2.13.
CVE-2022-34265: Потенциальная SQL-инъекция через аргументы Trunc(kind) и Extract(lookup_name).¶
Trunc() и Extract() функции базы данных подвергались SQL-инъекции, если в качестве значения kind/lookup_name использовались недоверенные данные.
Приложения, которые ограничивают имя поиска и выбор типа известным безопасным списком, не затрагиваются.