11 april 2022
Django 3.2.13 åtgärdar två säkerhetsproblem med allvarlighetsgrad ”hög” i 3.2.12 och en regression i 3.2.4.
QuerySet.annotate(), aggregate() och extra()¶metoderna QuerySet.annotate(), aggregate() och extra() var föremål för SQL-injektion i kolumnaliaser med hjälp av en lämpligt utformad ordbok med ordboksutvidgning som **kwargs som skickades till dessa metoder.
QuerySet.explain()-metoden var föremål för SQL-injektion i alternativnamn, med hjälp av en lämpligt utformad ordbok, med ordboksutvidgning, som argumentet **options.
Åtgärdade en regression i Django 3.2.4 som gjorde att den automatiska omladdaren inte längre upptäckte ändringar när alternativet DIRS i inställningen TEMPLATES innehöll en tom sträng (#33628`).
aug. 11, 2025