Примечания к выпуску Django 4.0.6¶
4 июля 2022 г.
В Django 4.0.6 исправлена проблема безопасности с «высоким уровнем серьезности» в версии 4.0.5.
CVE-2022-34265: Потенциальная SQL-инъекция через аргументы Trunc(kind) и Extract(lookup_name).¶
Trunc() и Extract() функции базы данных подвергались SQL-инъекции, если в качестве значения kind/lookup_name использовались недоверенные данные.
Приложения, которые ограничивают имя поиска и выбор типа известным безопасным списком, не затрагиваются.