2025年9月3日
Django 5.2.6 では 5.2.5 における深刻度 "high" のセキュリティの問題とバグを修正しました。
FilteredRelation の列エイリアスにおける潜在的な SQL インジェクション¶:class:.`FilteredRelation` は、列エイリアスにおいて SQL インジェクションの脆弱性が存在していました。これは、適切に細工された辞書を **kwargs として QuerySet.annotate() や QuerySet.alias() に渡し、辞書展開を利用することで悪用される可能性がありました。
QuerySet.values() または values_list() を、複数のフィールドで構成される ForeignObject と共に使用した際に、参照されるフィールドのタプルではなく誤った結果を返していたバグを修正しました( #36431 )。
12月 04, 2025