Django 4.0.6 版本发行说明¶
2022 年 7 月 4 日
Django 4.0.6 修复了 4.0.5 版本中的一个严重安全问题。
CVE-2022-34265: 通过 Trunc(kind) 和 Extract(lookup_name) 参数潜在的 SQL 注入漏洞¶
Trunc() 和 Extract() 数据库函数在使用不受信任的数据作为 kind/lookup_name 值时可能受到 SQL 注入的影响。
将约束查找名称和类型选择在已知安全列表中的应用程序不受影响。
