Getting Help

el
en
es
fr
id
it
ja
ko
pl
pt-br
语言： zh-hans

4.0
4.1
4.2
5.0
dev
文档版本： 5.1

Django 2.2.28 版本发行说明¶

2022 年 4 月 11 日

Django 2.2.28 修复了 Django 2.2.27 中两个严重级别的安全问题。

CVE-2022-28346: `QuerySet.annotate()`, `aggregate()`, 和 `extra()` 存在潜在的 SQL 注入漏洞¶

QuerySet.annotate()、aggregate() 和 extra() 方法在列别名中存在 SQL 注入风险，如果传递给这些方法的 **kwargs 中使用了经过适当精心制作的带有字典扩展的字典。

CVE-2022-28347: 在 PostgreSQL 上通过 `QuerySet.explain(**options)` 存在潜在的 SQL 注入漏洞¶

QuerySet.explain() 方法在选项名称中存在 SQL 注入风险，如果将经过适当精心制作的字典与字典扩展作为 **options 参数传递。

Django 3.0 版本发行说明

Django 2.2.27 版本发行说明

Back to Top

附加信息