Django 3.0.7 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/3.0.7
Django 3.0.7 发行说明
2020 年 6 月 3 日
Django 3.0.7 修复了 3.0.6 中的两个安全问题和几个错误。
CVE-2020-13254:通过格式错误的内存缓存键可能导致数据泄露
在 memcached 后端不执行密钥验证的情况下,传递格式错误的缓存密钥可能会导致密钥冲突和潜在的数据泄漏。 为了避免此漏洞,在 memcached 缓存后端中添加了密钥验证。
CVE-2020-13596:可能通过管理员进行 XSS ForeignKeyRawIdWidget
admin ForeignKeyRawIdWidget
的查询参数未正确进行 URL 编码,构成 XSS 攻击向量。 ForeignKeyRawIdWidget
现在可确保查询参数正确进行 URL 编码。
错误修正
- 通过恢复在
Meta.ordering
(:ticket:`31538`) 中使用字段查找的能力,修复了 Django 3.0 中的回归。 - 修复了 Django 3.0 中的回归,如果查询集包含聚合和子查询注释 (:ticket:`31566`),则
QuerySet.values()
和values_list()
崩溃。 - 修复了 Django 3.0 中的回归,其中当查询集具有多个子查询注释 (:ticket:`31568`) 时,聚合使用了错误的注释。
- 修复了 Django 3.0 中的回归,其中
QuerySet.values()
和values_list()
如果查询集包含聚合和 Oracle 上的Exists()
注释(:ticket:`31584` ])。 - 修复了 Django 3.0 中所有解析的
Subquery()
表达式都被视为相等的回归 (:ticket:`31607`)。 - 修复了 Django 3.0.5 中的一个回归,该回归影响了为区域语言变体和通用语言提供翻译的应用程序的翻译加载,其中项目具有不同的语言复数方程 (:ticket:`31570` )。
- 跟踪 jQuery 安全发布,将管理员使用的 jQuery 版本从 3.4.1 升级到 3.5.1。