2025年10月1日
Django 5.2.7 では、 5.2.6 におけるセキュリティの問題のうち深刻度 "high" 1件と深刻度 "low" 1件、その他バグを修正しました。また、 Transifex からの最新の文字列翻訳が反映されました。
QuerySet.annotate(), alias(), aggregate(), および extra() 利用時の SQL インジェクションの可能性¶QuerySet.annotate(), alias(), aggregate(), および extra() メソッドには、列エイリアスにおける SQL インジェクションの脆弱性が存在していました。これらのメソッドに渡される **kwargs に、適切に細工された辞書を辞書展開によって指定することで、攻撃が可能でした。(この問題は CVE 2022-28346 に対するフォローアップです。)
archive.extract() を介した部分的なディレクトリトラバーサルの可能性¶django.utils.archive.extract() 関数は、startapp --template および startproject --template において使用され、ターゲットディレクトリと共通の接頭辞を持つファイルパスを含むアーカイブを介して部分的なディレクトリトラバーサルを許していました(CVE 2021-3281 のフォローアップ)。
Django 5.2 において、 TabularInline 内の filter_horizontal および filter_vertical ウィジェットで選択したラベルの色のコントラストが低下していたリグレッションを修正しました( #36601 )。
12月 03, 2025