The Django weblog
·
Django安全版本发布:6.0.2、5.2.11和4.2.28
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Django团队发布了6.0.2、5.2.11和4.2.28版本,修复了用户枚举、拒绝服务和SQL注入等多个安全漏洞,建议用户尽快升级。
🎯
关键要点
- Django团队发布了6.0.2、5.2.11和4.2.28版本,修复了多个安全漏洞。
- 建议所有Django用户尽快升级。
- CVE-2025-13473:通过mod_wsgi身份验证处理程序的时间差进行用户名枚举,严重性为低。
- CVE-2025-14550:ASGI中通过重复头部导致的潜在拒绝服务漏洞,严重性为中等。
- CVE-2026-1207:PostGIS上的光栅查找存在潜在SQL注入风险,严重性为高。
- CVE-2026-1285:django.utils.text.Truncator HTML方法可能导致拒绝服务,严重性为中等。
- CVE-2026-1287:通过控制字符在列别名中存在潜在SQL注入,严重性为高。
- CVE-2026-1312:QuerySet.order_by和FilteredRelation中存在潜在SQL注入,严重性为高。
- 受影响的支持版本包括Django 6.0、5.2和4.2。
➡️
