- 3.1
- Версия документации: 6.1
Примечания к выпуску Django 4.2.25¶
1 октября 2025 г.
В Django 4.2.25 исправлена одна проблема безопасности с «высоким уровнем серьезности» и одна проблема безопасности с «низким уровнем серьезности» в версии 4.2.24.
CVE-2025-59681: потенциальное внедрение SQL в QuerySet.annotate(), alias(), aggregate() и extra() в MySQL и MariaDB.¶
Методы QuerySet.annotate(), alias(), aggregate() и extra() подвергались SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку **kwargs передавался этим методам (см. CVE 2022-28346).
CVE-2025-59682: Потенциальный частичный обход каталога с помощью archive.extract().¶
Функция django.utils.archive.extract(), используемая startapp --template и startproject --template, допускала частичный обход каталога через архив с путями к файлам, имеющими общий префикс с целевым каталогом (следуйте CVE 2021-3281).