Django 1.11.27 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.11.27
跳转至:导航、​搜索

Django 1.11.27 发行说明

2019 年 12 月 18 日

Django 1.11.27 修复了 1.11.26 中的安全问题和数据丢失错误。

CVE-2019-19844:通过密码重置表单潜在的帐户劫持

通过提交使用 Unicode 字符的适当制作的电子邮件地址,在比较小写时与现有用户电子邮件相比,攻击者可以发送匹配帐户的密码重置令牌。

为了避免此漏洞,密码重置请求现在使用更严格的推荐算法比较提交的电子邮件,对 Unicode Technical Report 36, section 2.11.2(B)(2)[X245X 中的两个标识符进行不区分大小写的比较]。 匹配后,包含重置令牌的电子邮件将发送到记录的电子邮件地址,而不是提交的地址。


错误修正

  • 修复了 SplitArrayField 中数据丢失的可能性。 当与 ArrayField(BooleanField()) 一起使用时,第一个 True 值之后的所有值都被标记为已检查,而不是保留传递的值 (:ticket:`31073`)。