Django 3.1.13发行说明

July 1, 2021

Django 3.1.13修复了3.1.12中严重程度“高”的安全问题。

CVE-2021-35042:未经清理的潜在SQL注入 QuerySet.order_by() 输入

未清理的用户输入传递到 QuerySet.order_by() 可以绕过标记为弃用的路径中的预期列引用验证,从而导致潜在的SQL注入,即使发出弃用警告也是如此。

作为缓解措施,在弃用期间恢复了严格的列引用验证。这种回归作为修复的副作用出现在3.1中 #31426

主分支中不存在此问题,因为已删除不推荐使用的路径。

« previous | up | next »