6 mars 2018
Django 1.11.11 åtgärdar två säkerhetsproblem i 1.11.10.
urlize och urlizetrunc¶Funktionen django.utils.html.urlize() var extremt långsam när den utvärderade vissa inmatningar på grund av katastrofala sårbarheter för backtracking i två reguljära uttryck. Funktionen urlize() används för att implementera mallfiltren urlize och urlizetrunc, som därmed var sårbara.
De problematiska reguljära uttrycken ersätts med parsinglogik som beter sig på liknande sätt.
truncatechars_html och truncatewords_html¶Om django.utils.text.Truncator’s chars() och words() metoder fick argumentet html=True, var de extremt långsamma att utvärdera vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Metoderna chars() och words() används för att implementera mallfiltren truncatechars_html och truncatewords_html, som därmed var sårbara.
Backtracking-problemet i det reguljära uttrycket är åtgärdat.
aug. 11, 2025