CVE-2025-13372: Потенциальное внедрение SQL в псевдонимы столбцов FilteredRelation в PostgreSQL.¶

FilteredRelation подвергался SQL-инъекции в псевдонимы столбцов с использованием соответствующим образом созданного словаря с расширением словаря, поскольку **kwargs передавался в QuerySet.annotate() или QuerySet.alias() в PostgreSQL.

CVE-2025-64460: потенциальная уязвимость типа «отказ в обслуживании» в XML-десериализаторе.¶

Сериализация XML подвергалась потенциальной атаке типа «отказ в обслуживании» из-за квадратичной временной сложности при десериализации созданных документов, содержащих множество вложенных недопустимых элементов. Внутренний помощник django.core.serializers.xml_serializer.getInnerText() ранее неэффективно накапливал внутренний текст во время рекурсии. Теперь он собирает текст для каждого элемента, избегая чрезмерного использования ресурсов.

Исправления¶

• Исправлена ​​регрессия в Django 4.2.26, где DisallowedRedirect вызывался HttpResponseRedirect и HttpResponsePermanentRedirect для URL-адресов длиной более 2048 символов. Ограничение теперь составляет 16384 символа (#36743).