Django 2.2.28 release notes

11 april 2022

Django 2.2.28 åtgärdar två säkerhetsproblem med allvarlighetsgrad ”hög” i 2.2.27.

CVE-2022-28346: Potentiell SQL-injektion i QuerySet.annotate(), aggregate() och extra()

metoderna QuerySet.annotate(), aggregate() och extra() var föremål för SQL-injektion i kolumnaliaser med hjälp av en lämpligt utformad ordbok med ordboksutvidgning som **kwargs som skickades till dessa metoder.

CVE-2022-28347: Potentiell SQL-injektion via ``QuerySet.explain (**options) `` på PostgreSQL

QuerySet.explain()-metoden var föremål för SQL-injektion i alternativnamn, med hjälp av en lämpligt utformad ordbok, med ordboksutvidgning, som argumentet **options.