Django 1.11.23 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/1.11.23
Django 1.11.23 发行说明
2019 年 8 月 1 日
Django 1.11.23 修复了 1.11.22 中的安全问题。
CVE-2019-14232:django.utils.text.Truncator 中的拒绝服务可能性
如果 django.utils.text.Truncator
的 chars()
和 words()
方法通过 html=True
参数,由于在正则表达式。 chars()
和 words()
方法用于实现 :tfilter:`truncatechars_html` 和 :tfilter:`truncatewords_html` 模板过滤器,它们是因而脆弱。
Truncator
使用的正则表达式已经过简化,以避免潜在的回溯问题。 因此,有时会在截断的输出中包含尾随标点符号。
CVE-2019-14234:JSONField/HStoreField 键和索引查找中的 SQL 注入可能性
:lookup:`键和索引查找 ` 为了 JSON 字段和 :lookup:`键查找 ` 为了存储字段受到 SQL 注入,使用适当制作的字典,具有字典扩展,作为**kwargs
传递给QuerySet.filter()
.
CVE-2019-14235:django.utils.encoding.uri_to_iri() 中潜在的内存耗尽
如果传递某些输入,django.utils.encoding.uri_to_iri() 可能会在重新百分比编码无效的 UTF-8 八位字节序列时由于过度递归而导致大量内存使用。
uri_to_iri()
现在可以在对无效的 UTF-8 八位字节序列进行重新百分比编码时避免递归。