Django

The web framework for perfectionists with deadlines.

助けを求める

el
en
es
fr
id
it
ko
pl
pt-br
sv
zh-hans
言語: ja

5.2
dev
ドキュメントのバージョン: 6.0

Django 4.2.25 リリースノート¶

2025年10月1日

Django 4.2.25 では 4.2.24 におけるセキュリティの問題のうち深刻度 "high" 1件と深刻度 "low" 1件を修正しました。

CVE-2025-59681: MySQL および MariaDB における `QuerySet.annotate()`, `alias()`, `aggregate()`, および `extra()` 利用時の SQL インジェクションの可能性¶

QuerySet.annotate(), alias(), aggregate(), および extra() メソッドには、列エイリアスにおける SQL インジェクションの脆弱性が存在していました。これらのメソッドに渡される **kwargs に、適切に細工された辞書を辞書展開によって指定することで、攻撃が可能でした。（この問題は CVE 2022-28346 に対するフォローアップです。）

CVE-2025-59682: `archive.extract()` を介した部分的なディレクトリトラバーサルの可能性¶

django.utils.archive.extract() 関数は、startapp --template および startproject --template において使用され、ターゲットディレクトリと共通の接頭辞を持つファイルパスを含むアーカイブを介して部分的なディレクトリトラバーサルを許していました（CVE 2021-3281 のフォローアップ）。

Back to Top