Django 3.0.3 versionsinformation¶

CVE-2020-7471: Potentiell SQL-injektion via StringAgg(delimiter)¶

StringAgg aggregationsfunktion var föremål för SQL-injektion, med hjälp av en lämpligt utformad delimiter.

Buggrättningar¶

• Åtgärdade en regression i Django 3.0 som orsakade en krasch när man subtraherade DateField, DateTimeField eller TimeField från en Subquery()-annotation (#31133`).

• Åtgärdade en regression i Django 3.0 där QuerySet.values() och values_list() kraschade om en queryset innehöll en aggregering och Exists() annotation (#31136).

• Lättade på systemkontrollen som lades till i Django 3.0 för att tillåta användning av ett underspråk i LANGUAGE_CODE-inställningen, när ett basspråk är tillgängligt i Django men underspråket inte är det (#31141).

• Lagt till stöd för användning av uppräkningstyperna TextChoices, IntegerChoices och Choices i mallar (#31154).

• Fixat en systemkontroll för att säkerställa att attributet max_length passar det längsta valet, när en namngiven grupp endast innehåller värden som inte är strängar (#31155).

• Åtgärdade en regression i Django 2.2 som orsakade en krasch av ArrayAgg och StringAgg med filter argument när det används i en Subquery (#31097`).

• Åtgärdade en regression i Django 2.2.7 som gjorde att get_FOO_display() fungerade felaktigt när man åsidosatte ärvda val (#31124).

• Åtgärdade en regression i Django 3.0 som orsakade en krasch av QuerySet.prefetch_related() för GenericForeignKey med en anpassad ContentType främmande nyckel (#31190`).