CVE-2025-64458: потенциальная уязвимость типа «отказ в обслуживании» в HttpResponseRedirect и HttpResponsePermanentRedirect в Windows.¶

Нормализация Python NFKC работает медленно в Windows. Как следствие, HttpResponseRedirect, HttpResponsePermanentRedirect и ярлык redirect() подвергались потенциальной атаке типа «отказ в обслуживании» через определенные входные данные с очень большим количеством символов Юникода (см. CVE 2025-27556).

CVE-2025-64459: Потенциальная SQL-инъекция через аргумент ключевого слова _connector.¶

QuerySet.filter(), exclude(), get() и Q подвергались SQL-инъекции с использованием соответствующим образом созданного словаря с расширением словаря в качестве аргумента _connector.

Исправления¶

• Добавлена ​​совместимость с oracledb 3.4.0 (#36646).

• Исправлена ​​ошибка в Django 5.2, из-за которой QuerySet.first() и QuerySet.last() вызывали ошибку в наборах запросов, выполняющих агрегацию, при которой выбирались все поля составного первичного ключа (#36648).

• Исправлена ​​ошибка в Django 5.2, из-за которой прокси-модели, имеющие CompositePrimaryKey, неправильно вызывали ошибку системной проверки models.E042 (#36704).