1 juli 2021
Django 3.1.13 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”hög” i 3.1.12.
QuerySet.order_by()-data¶Obehandlad användarinmatning som skickas till QuerySet.order_by() kan kringgå avsedd validering av kolumnreferenser i sökvägar som är markerade för utfasning, vilket resulterar i en potentiell SQL-injektion även om en varning för utfasning utfärdas.
Som en motåtgärd återställdes den strikta valideringen av kolumnreferenser under hela utfasningsperioden. Denna regression dök upp i 3.1 som en bieffekt av att fixa #31426.
Problemet finns inte i huvudgrenen eftersom den föråldrade sökvägen har tagits bort.
aug. 11, 2025