Django 5.0.9 release notes

3 september 2024

Django 5.0.9 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”måttlig” och ett säkerhetsproblem med allvarlighetsgrad ”låg” i 5.0.8.

CVE-2024-45230: Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize()

urlize och urlizetrunc var föremål för en potentiell överbelastningsattack via mycket stora indata med en specifik sekvens av tecken.

CVE-2024-45231: Potentiell uppräkning av användarens e-post via svarsstatus vid återställning av lösenord

På grund av obehandlade misslyckanden med att skicka e-post gjorde klassen PasswordResetForm det möjligt för fjärrangripare att räkna upp användares e-postmeddelanden genom att utfärda begäran om återställning av lösenord och observera resultaten.

För att mildra denna risk hanteras och loggas nu undantag som inträffar under e-postutskick av lösenordsåterställning med hjälp av loggern django.contrib.auth.