6 mars 2018
Django 1.8.19 åtgärdar två säkerhetsproblem i 1.18.18.
urlize och urlizetrunc¶Funktionen django.utils.html.urlize() var extremt långsam när den utvärderade vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Funktionen urlize() används för att implementera mallfiltren urlize och urlizetrunc, som därmed var sårbara.
Det problematiska reguljära uttrycket ersätts med parsinglogik som beter sig på liknande sätt.
truncatechars_html och truncatewords_html¶Om django.utils.text.Truncator’s chars() och words() metoder fick argumentet html=True, var de extremt långsamma att utvärdera vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Metoderna chars() och words() används för att implementera mallfiltren truncatechars_html och truncatewords_html, som därmed var sårbara.
Backtracking-problemet i det reguljära uttrycket är åtgärdat.
aug. 11, 2025