Django 3.2.2 release notes

6 maj 2021

Django 3.2.2 åtgärdar ett säkerhetsproblem och en bugg i 3.2.1.

CVE-2021-32052: Möjlighet till rubrikinjektion sedan URLValidator accepterade nya linjer i indata på Python 3.9.5+

I Python 3.9.5+ förbjöd URLValidator inte nya rader och tabbar. Om du använde värden med nya rader i HTTP-svar kan du drabbas av header injection-attacker. Django själv var inte sårbart eftersom HttpResponse förbjuder nya rader i HTTP-rubriker.

Dessutom tar formulärfältet URLField som använder URLValidator tyst bort nya linjer och tabbar i Python 3.9.5+, så möjligheten att nya linjer kommer in i dina data finns bara om du använder denna validator utanför formulärfälten.

Det här problemet introducerades av bpo-43882 fix.

Buggrättningar

  • Förhindrade, efter en regression i Django 3.2.1, makemigrations från att generera oändliga migreringar för en modell med Meta.ordering som innehåller OrderBy uttryck (#32714`).