6 maj 2021
Django 3.2.2 åtgärdar ett säkerhetsproblem och en bugg i 3.2.1.
URLValidator accepterade nya linjer i indata på Python 3.9.5+¶I Python 3.9.5+ förbjöd URLValidator inte nya rader och tabbar. Om du använde värden med nya rader i HTTP-svar kan du drabbas av header injection-attacker. Django själv var inte sårbart eftersom HttpResponse förbjuder nya rader i HTTP-rubriker.
Dessutom tar formulärfältet URLField som använder URLValidator tyst bort nya linjer och tabbar i Python 3.9.5+, så möjligheten att nya linjer kommer in i dina data finns bara om du använder denna validator utanför formulärfälten.
Det här problemet introducerades av bpo-43882 fix.
Förhindrade, efter en regression i Django 3.2.1, makemigrations från att generera oändliga migreringar för en modell med Meta.ordering som innehåller OrderBy uttryck (#32714`).
aug. 11, 2025