1 oktober 2025
Django 5.2.7 åtgärdar ett säkerhetsproblem med svårighetsgraden ”hög”, ett säkerhetsproblem med svårighetsgraden ”låg” och ett fel i 5.2.6. Dessutom har de senaste strängöversättningarna från Transifex införlivats.
QuerySet.annotate(), alias(), aggregate() och extra() på MySQL och MariaDB¶ QuerySet.annotate(), alias(), aggregate() och extra() metoder var utsatta för SQL-injektion i kolumnalias, med hjälp av en lämpligt utformad ordlista, med ordlistans utvidgning, som **kwargs som skickades till dessa metoder (uppföljning till CVE 2022-28346).
archive.extract()¶Funktionen django.utils.archive.extract(), som används av startapp --template och startproject --template, tillät partiell kataloggenomgång via ett arkiv med filvägar som delade ett gemensamt prefix med målkatalogen (uppföljning till CVE 2021-3281).
Fixade en regression i Django 5.2 som minskade färgkontrasten för den valda etiketten för widgetarna filter_horizontal- och filter_vertical inom en TabularInline (#36601).
dec. 03, 2025