4 oktober 2023
Django 3.2.22 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”måttlig” i 3.2.21.
django.utils.text.Truncator¶Efter korrigeringen för CVE 2019-14232 reviderades och förbättrades de reguljära uttryck som används i implementeringen av django.utils.text.Truncator’s chars() och words() metoder (med html=True). Dessa reguljära uttryck uppvisade dock fortfarande linjär backtracking-komplexitet, så när de fick en mycket lång, potentiellt missbildad HTML-ingång, skulle utvärderingen fortfarande vara långsam, vilket ledde till en potentiell sårbarhet för övergrepp i tjänsten.
Metoderna chars() och words() används för att implementera mallfiltren truncatechars_html och truncatewords_html, som därmed också var sårbara.
Den indata som behandlas av Truncator, när den arbetar i HTML-läge, har begränsats till de första fem miljoner tecknen för att undvika potentiella prestanda- och minnesproblem.
aug. 11, 2025