Django 5.2.7 リリースノート¶
2025年10月1日
Django 5.2.7 では、 5.2.6 におけるセキュリティの問題のうち深刻度 "high" 1件と深刻度 "low" 1件、その他バグを修正しました。また、 Transifex からの最新の文字列翻訳が反映されました。
CVE-2025-59681: MySQL および MariaDB における QuerySet.annotate(), alias(), aggregate(), および extra() 利用時の SQL インジェクションの可能性¶
QuerySet.annotate(), alias(), aggregate(), および extra() メソッドには、列エイリアスにおける SQL インジェクションの脆弱性が存在していました。これらのメソッドに渡される **kwargs に、適切に細工された辞書を辞書展開によって指定することで、攻撃が可能でした。(この問題は CVE 2022-28346 に対するフォローアップです。)
CVE-2025-59682: archive.extract() を介した部分的なディレクトリトラバーサルの可能性¶
django.utils.archive.extract() 関数は、startapp --template および startproject --template において使用され、ターゲットディレクトリと共通の接頭辞を持つファイルパスを含むアーカイブを介して部分的なディレクトリトラバーサルを許していました(CVE 2021-3281 のフォローアップ)。
バグ修正¶
Django 5.2 において、
TabularInline内のfilter_horizontalおよびfilter_verticalウィジェットで選択したラベルの色のコントラストが低下していたリグレッションを修正しました( #36601 )。
