Django 5.2.8 documentation

Home | Table of contents | Index | Modules

« previous | up | next »

Django 5.1.13 versionsinformation¶

1 oktober 2025

Django 5.1.13 åtgärdar ett säkerhetsproblem med svårighetsgraden ”hög” och ett säkerhetsproblem med svårighetsgraden ”låg” i 5.1.12.

CVE-2025-59681: Potentiell SQL-injektion i `QuerySet.annotate()`, `alias()`, `aggregate()` och `extra()` på MySQL och MariaDB¶

QuerySet.annotate(), alias(), aggregate() och extra() metoder var utsatta för SQL-injektion i kolumnalias, med hjälp av en lämpligt utformad ordlista, med ordlistans utvidgning, som **kwargs som skickades till dessa metoder (uppföljning till CVE 2022-28346).

CVE-2025-59682: Potentiell partiell kataloggenomgång via `archive.extract()`¶

Funktionen django.utils.archive.extract(), som används av startapp --template och startproject --template, tillät partiell kataloggenomgång via ett arkiv med filvägar som delade ett gemensamt prefix med målkatalogen (uppföljning till CVE 2021-3281).

« previous | up | next »

Django 5.2.8 documentation

Django 5.1.13 versionsinformation¶

CVE-2025-59681: Potentiell SQL-injektion i `QuerySet.annotate()`, `alias()`, `aggregate()` och `extra()` på MySQL och MariaDB¶

CVE-2025-59682: Potentiell partiell kataloggenomgång via `archive.extract()`¶

Table of Contents

Föregående titel

Nästa titel

Denna Sida

Last update:

Django 5.2.8 documentation

Django 5.1.13 versionsinformation¶

CVE-2025-59681: Potentiell SQL-injektion i QuerySet.annotate(), alias(), aggregate() och extra() på MySQL och MariaDB¶

CVE-2025-59682: Potentiell partiell kataloggenomgång via archive.extract()¶

Last update:

CVE-2025-59681: Potentiell SQL-injektion i `QuerySet.annotate()`, `alias()`, `aggregate()` och `extra()` på MySQL och MariaDB¶

CVE-2025-59682: Potentiell partiell kataloggenomgång via `archive.extract()`¶