3 juni 2019
Django 2.2.2 åtgärdar säkerhetsproblem och flera buggar i 2.2.1.
Den klickbara länken ”Current URL” som genererades av AdminURLFieldWidget visade det angivna värdet utan att validera det som en säker URL. Således kan ett ogiltigt värde som lagras i databasen, eller ett värde som tillhandahålls som en URL-frågeparameters nyttolast, resultera i en klickbar JavaScript-länk.
AdminURLFieldWidget validerar nu det angivna värdet med hjälp av URLValidator` innan den klickbara länken visas. Du kan anpassa valideraren genom att skicka en validator_class kwarg till AdminURLFieldWidget.__init__(), t.ex. när du använder formfield_overrides.
jQuery före 3.4.0, missköter jQuery.extend(true, {}, ...) på grund av Object.prototype förorening. Om ett osanerat källobjekt innehöll en uppräkningsbar __proto__-egenskap kunde det förlänga den ursprungliga Object.prototype.
Den medföljande versionen av jQuery som används av Django-administratören har korrigerats för att tillåta select2-bibliotekets användning av jQuery.extend().
Fixade en regression i Django 2.2 som gjorde att Show/Hide-reglagen inte fungerade på dynamiskt tillagda admin-inlines (#30459).
Åtgärdade en regression i Django 2.2 där deprecation-meddelandet kraschar om Meta.ordering innehåller ett uttryck (#30463).
Åtgärdade en regression i Django 2.2.1 där SearchVector genererar SQL med ett överflödigt Coalesce-anrop (#30488`).
Åtgärdade en regression i Django 2.2 där automatisk återladdare inte upptäcker ändringar i filen manage.py när du använder StatReloader (#30479`).
Fixad krasch av ArrayAgg och StringAgg med ordering argument när det används i en Subquery (#30315).
Åtgärdat en regression i Django 2.2 som orsakade en krasch av auto-reloader när ett undantag med anpassad signatur uppstår (#30516).
Fixat en regression i Django 2.2.1 där auto-reloader i onödan laddar om översättningsfiler flera gånger när man använder StatReloader (#30523).
aug. 11, 2025