Django 4.0.6 版本发行说明¶
2022 年 7 月 4 日
Django 4.0.6 修复了 4.0.5 版本中的一个严重安全问题。
CVE-2022-34265: 通过 Trunc(kind)
和 Extract(lookup_name)
参数潜在的 SQL 注入漏洞¶
Trunc()
和 Extract()
数据库函数在使用不受信任的数据作为 kind
/lookup_name
值时可能受到 SQL 注入的影响。
将约束查找名称和类型选择在已知安全列表中的应用程序不受影响。