Django团队发布了更新，以解决一个关键的安全漏洞。新版本包括 Django 5.2.6、5.1.12 和 4.2.24。这些发布版本专门用于修复潜在的 SQL 注入缺陷。该漏洞被标识为 CVE-2025-57833，影响 FilteredRelation 功能。具体来说，当使用带有 QuerySet.annotate() 或 QuerySet.alias() 的字典展开时，它允许通过列别名进行 SQL 注入。EyalSec 的 Eyal Gabay 报告了这个高危问题。补丁已应用于 Django 的 main、5.2、5.1 和 4.2 分支。强烈建议用户尽快升级到这些最新版本。与这些版本关联的 PGP 密钥 ID 是 3955B19851EA96EF。 Django 团队提醒用户通过电子邮件私下向 [email protected] 报告潜在的安全问题。