Примечания к выпуску Django 4.0.4¶
11 апреля 2022 г.
В Django 4.0.4 исправлены две проблемы безопасности с «высоким уровнем серьезности» и две ошибки в версии 4.0.3.
CVE-2022-28346: потенциальное внедрение SQL в QuerySet.annotate(), aggregate() и extra().¶
Методы QuerySet.annotate(), aggregate() и extra() подвергались SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку этим методам передавался **kwargs.
CVE-2022-28347: потенциальное внедрение SQL через QuerySet.explain(**options) в PostgreSQL.¶
Метод QuerySet.explain() подвергался внедрению SQL в имена опций с использованием специально созданного словаря с расширением словаря в качестве аргумента **options.
Исправления¶
Исправлена регрессия в Django 4.0, приводившая к игнорированию нескольких связей FilteredRelation() с одним и тем же полем (#33598).
Исправлена регрессия в Django 3.2.4, из-за которой автоперезагрузка больше не обнаруживала изменения, когда опция DIRS в настройке TEMPLATES содержала пустую строку (#33628).