July 1, 2021
Django 3.1.13修复了3.1.12中严重程度“高”的安全问题。
QuerySet.order_by()
未清理的用户输入传递到 QuerySet.order_by() 可以绕过标记为弃用的路径中的预期列引用验证,从而导致潜在的SQL注入,即使发出弃用警告也是如此。
作为缓解措施,在弃用期间恢复了严格的列引用验证。这种回归作为修复的副作用出现在3.1中 #31426 。
主分支中不存在此问题,因为已删除不推荐使用的路径。
Django 3.1.14发行说明
Django 3.1.12发行说明
12月 18, 2023