Django 3.2.5 release notes

1 juli 2021

Django 3.2.5 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”hög” och flera buggar i 3.2.4. Dessutom har de senaste strängöversättningarna från Transifex införlivats.

CVE-2021-35042: Potentiell SQL-injektion via osanitiserad QuerySet.order_by()-data

Obehandlad användarinmatning som skickas till QuerySet.order_by() kan kringgå avsedd validering av kolumnreferenser i sökvägar som är markerade för utfasning, vilket resulterar i en potentiell SQL-injektion även om en varning för utfasning utfärdas.

Som en motåtgärd återställdes den strikta valideringen av kolumnreferenser under hela utfasningsperioden. Denna regression dök upp i 3.1 som en bieffekt av att fixa #31426.

Problemet finns inte i huvudgrenen eftersom den föråldrade sökvägen har tagits bort.

Buggrättningar

  • Åtgärdade en regression i Django 3.2 som orsakade en krasch av QuerySet.values_list(..., named=True) efter prefetch_related() (#32812).

  • Åtgärdat ett fel i Django 3.2 som orsakade en migreringskrasch på MySQL 8.0.13+ när BinaryField, JSONField eller TextField ändrades till icke-nullbar (#32503).

  • Åtgärdade en regression i Django 3.2 som orsakade en migreringskrasch på MySQL 8.0.13+ när man lägger till nullable BinaryField, JSONField eller TextField med ett standardvärde (#32832).

  • Åtgärdat ett fel i Django 3.2 där en systemkontroll kraschade på en modell med en ogiltig app_label (#32863`).