3 september 2024
Django 4.2.16 åtgärdar ett säkerhetsproblem med allvarlighetsgrad ”måttlig” och ett säkerhetsproblem med allvarlighetsgrad ”låg” i 4.2.15.
django.utils.html.urlize()¶urlize och urlizetrunc var föremål för en potentiell överbelastningsattack via mycket stora indata med en specifik sekvens av tecken.
På grund av obehandlade misslyckanden med att skicka e-post gjorde klassen PasswordResetForm det möjligt för fjärrangripare att räkna upp användares e-postmeddelanden genom att utfärda begäran om återställning av lösenord och observera resultaten.
För att mildra denna risk hanteras och loggas nu undantag som inträffar under e-postutskick av lösenordsåterställning med hjälp av loggern django.contrib.auth.
aug. 11, 2025