Django 4.2.15 release notes

6 augusti 2024

Django 4.2.15 åtgärdar tre säkerhetsproblem med allvarlighetsgrad ”måttlig”, ett säkerhetsproblem med allvarlighetsgrad ”hög” och en regression i 4.2.14.

CVE-2024-41989: Minnesutmattning i django.utils.numberformat.floatformat()

Om floatformat tog emot en strängrepresentation av ett tal i vetenskaplig notation med en stor exponent, kunde det leda till betydande minnesförbrukning.

För att undvika detta returneras nu decimaler med mer än 200 siffror som de är.

CVE-2024-41990: Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize()

urlize och urlizetrunc var föremål för en potentiell överbelastningsattack via mycket stora indata med en specifik sekvens av tecken.

CVE-2024-41991: Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize() och AdminURLFieldWidget

urlize, urlizetrunc, och AdminURLFieldWidget var föremål för en potentiell överbelastningsattack via vissa indata med ett mycket stort antal Unicode-tecken.

CVE-2024-42005: Potentiell SQL-injektion i QuerySet.values() och values_list()

metoderna QuerySet.values() och values_list() på modeller med en JSONField var föremål för SQL-injektion i kolumnaliaser, via en manipulerad JSON-objektnyckel som ett godkänt *arg.

Buggrättningar

  • Åtgärdade en regression i Django 4.2.14 som orsakade en krasch i LocaleMiddleware vid bearbetning av en språkkod över 500 tecken (#35627).