Django 3.2.14 release notes

4 juli 2022

Django 3.2.14 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”hög” i 3.2.13.

CVE-2022-34265: Potentiell SQL-injektion via argumenten Trunc(kind) och Extract(lookup_name)

databasfunktionerna Trunc() och Extract() var föremål för SQL-injektion om otillförlitliga data användes som ett värde för kind/lookup_name.

Program som begränsar uppslagsnamnet och valet av typ till en känd säker lista påverkas inte.