3 juni 2019
Django 2.1.9 åtgärdar säkerhetsproblem i 2.1.8.
Den klickbara länken ”Current URL” som genererades av AdminURLFieldWidget visade det angivna värdet utan att validera det som en säker URL. Således kan ett ogiltigt värde som lagras i databasen, eller ett värde som tillhandahålls som en URL-frågeparameters nyttolast, resultera i en klickbar JavaScript-länk.
AdminURLFieldWidget validerar nu det angivna värdet med hjälp av URLValidator` innan den klickbara länken visas. Du kan anpassa valideraren genom att skicka en validator_class kwarg till AdminURLFieldWidget.__init__(), t.ex. när du använder formfield_overrides.
jQuery före 3.4.0, missköter jQuery.extend(true, {}, ...) på grund av Object.prototype förorening. Om ett osanerat källobjekt innehöll en uppräkningsbar __proto__-egenskap kunde det förlänga den ursprungliga Object.prototype.
Den medföljande versionen av jQuery som används av Django-administratören har korrigerats för att tillåta select2-bibliotekets användning av jQuery.extend().
aug. 11, 2025