Django 2.2.13 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.0.x/releases/2.2.13
Django 2.2.13 发行说明
2020 年 6 月 3 日
Django 2.2.13 修复了 2.2.12 中的两个安全问题和回归。
CVE-2020-13254:通过格式错误的内存缓存键可能导致数据泄露
在 memcached 后端不执行密钥验证的情况下,传递格式错误的缓存密钥可能会导致密钥冲突和潜在的数据泄漏。 为了避免此漏洞,在 memcached 缓存后端中添加了密钥验证。
CVE-2020-13596:可能通过管理员进行 XSS ForeignKeyRawIdWidget
admin ForeignKeyRawIdWidget
的查询参数未正确进行 URL 编码,构成 XSS 攻击向量。 ForeignKeyRawIdWidget
现在可确保查询参数正确进行 URL 编码。
错误修正
- 修复了 Django 2.2.12 中的一个回归,该回归影响了为领土语言变体和通用语言提供翻译的应用程序的翻译加载,其中项目具有不同的语言复数方程 (:ticket:`31570` )。
- 跟踪 jQuery 安全发布,将管理员使用的 jQuery 版本从 3.3.1 升级到 3.5.1。