Django 4.0.2 release notes

1 februari 2022

Django 4.0.2 åtgärdar två säkerhetsproblem med allvarlighetsgrad ”medium” och flera buggar i 4.0.1. Dessutom har de senaste strängöversättningarna från Transifex införlivats, med ett särskilt omnämnande för bulgariska (helt översatt).

CVE-2022-22818: Möjlig XSS via {% debug %} malltagg

Malltaggen {% debug %} kodade inte den aktuella kontexten korrekt, vilket möjliggjorde en XSS-attack.

För att undvika denna sårbarhet skriver {% debug %} inte längre ut information när inställningen DEBUG är False och säkerställer att alla kontextvariabler är korrekt escapade när inställningen DEBUG är True.

CVE-2022-23833: Denial-of-service-möjlighet i filuppladdningar

Att skicka vissa inmatningar till flerpartsformulär kunde resultera i en oändlig loop när filer analyserades.

Buggrättningar

  • Åtgärdat ett fel i Django 4.0 där TestCase.captureOnCommitCallbacks() kunde utföra callbacks flera gånger (#33410).

  • Åtgärdade en regression i Django 4.0 där help_text var HTML-escaped i automatiskt genererade formulär (#33419).

  • Åtgärdade en regression i Django 4.0 som orsakade visning av ett felaktigt namn för klassbaserade vyer på den tekniska 404-felsökningssidan (#33425).

  • Fixade en regression i Django 4.0 som orsakade en felaktig repr av ResolverMatch för klassbaserade vyer (#33426).

  • Fixade en regression i Django 4.0 som orsakade en krasch av makemigrations på modeller utan Meta.order_with_respect_to men med ett fält som heter _order (#33449`).

  • Åtgärdat en regression i Django 4.0 som orsakade felaktig ModelAdmin.radio_fields layout i admin (#33407).

  • Åtgärdade en regression med duplicerade operationer i Django 4.0 som orsakade en migreringskrasch när man ändrade en primärnyckeltyp för en konkret överordnad modell som refererades till av en främmande nyckel (#33462).

  • Åtgärdat ett fel i Django 4.0 som orsakade en krasch av QuerySet.aggregate() efter annotate() på en aggregatfunktion med en default (#33468).

  • Åtgärdade en regression i Django 4.0 som orsakade en krasch av makemigrations när man bytte namn på ett fält i en omdöpta modell (#33480).