2024 年 3 月 4 日
Django 5.0.3 修复了一些"中等"严重性的安全问题,以及 5.0.2 版本中的几个错误。
django.utils.text.Truncator.words()
存在潜在的正则表达式拒绝服务漏洞¶django.utils.text.Truncator.words()
方法(使用 html=True
)和 truncatewords_html
模板过滤器可能受到潜在的正则表达式拒绝服务攻击,使用精心设计的字符串(对 CVE-2019-14232 和 CVE-2023-43665 的后续)。
intcomma
模板过滤器可能在浮点数的字符串表示中返回一个前导逗号(#35172)。Signal.asend()
和 asend_robust()
崩溃(#35174)。ModelAdmin.list_filter
中时,ModelAdmin.lookup_allowed()
将阻止使用类似 __isnull
的查找对外键进行过滤(#35173)。@sensitive_variables
和 @sensitive_post_parameters
装饰器在从 .pyc
文件加载的函数上导致崩溃(#35187)。prefetch_related()
时导致崩溃(#35238)。SimpleListFilter
会导致面向方面的筛选器崩溃(#35198)。9月 16, 2024