Django 3.2.5 release notes¶
1 juli 2021
Django 3.2.5 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”hög” och flera buggar i 3.2.4. Dessutom har de senaste strängöversättningarna från Transifex införlivats.
CVE-2021-35042: Potentiell SQL-injektion via osanitiserad QuerySet.order_by()-data¶
Obehandlad användarinmatning som skickas till QuerySet.order_by() kan kringgå avsedd validering av kolumnreferenser i sökvägar som är markerade för utfasning, vilket resulterar i en potentiell SQL-injektion även om en varning för utfasning utfärdas.
Som en motåtgärd återställdes den strikta valideringen av kolumnreferenser under hela utfasningsperioden. Denna regression dök upp i 3.1 som en bieffekt av att fixa #31426.
Problemet finns inte i huvudgrenen eftersom den föråldrade sökvägen har tagits bort.
Buggrättningar¶
Åtgärdade en regression i Django 3.2 som orsakade en krasch av
QuerySet.values_list(..., named=True)efterprefetch_related()(#32812).Åtgärdat ett fel i Django 3.2 som orsakade en migreringskrasch på MySQL 8.0.13+ när
BinaryField,JSONFieldellerTextFieldändrades till icke-nullbar (#32503).Åtgärdade en regression i Django 3.2 som orsakade en migreringskrasch på MySQL 8.0.13+ när man lägger till nullable
BinaryField,JSONFieldellerTextFieldmed ett standardvärde (#32832).Åtgärdat ett fel i Django 3.2 där en systemkontroll kraschade på en modell med en ogiltig
app_label(#32863`).
