Django 2.2.28 版本发行说明
2022 年 4 月 11 日
Django 2.2.28 修复了 Django 2.2.27 中两个严重级别的安全问题。
CVE-2022-28346: QuerySet.annotate()
, aggregate()
, 和 extra()
存在潜在的 SQL 注入漏洞
QuerySet.annotate()、aggregate() 和 extra() 方法在列别名中存在 SQL 注入风险,如果传递给这些方法的 **kwargs
中使用了经过适当精心制作的带有字典扩展的字典。
CVE-2022-28347: 在 PostgreSQL 上通过 QuerySet.explain(**options)
存在潜在的 SQL 注入漏洞
QuerySet.explain() 方法在选项名称中存在 SQL 注入风险,如果将经过适当精心制作的字典与字典扩展作为 **options
参数传递。