Примечания к выпуску Django 2.2.13¶
3 июня 2020
Django 2.2.13 исправляет две проблемы безопасности и регрессию в 2.2.12.
CVE-2020-13254: Потенциальная утечка данных через неправильно сформированные ключи memcached¶
В случаях, когда бэкенд memcached не выполняет проверку ключей, передача неправильно сформированных ключей кэша может привести к столкновению ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, в бэкенды кэша memcached добавлена проверка ключей.
CVE-2020-13596: Возможный XSS через администратора ForeignKeyRawIdWidget
¶
Параметры запроса для администратора ForeignKeyRawIdWidget
не были правильно закодированы в URL, что создавало вектор XSS-атаки. Теперь ForeignKeyRawIdWidget
обеспечивает правильное кодирование URL параметров запроса.
Исправления¶
- Исправлена регрессия в Django 2.2.12, которая влияла на загрузку переводов для приложений, предоставляющих переводы для территориальных вариантов языка, а также общего языка, когда проект имеет различные уравнения множественного числа для языка (#31570).
- Отслеживание выпуска безопасности jQuery, обновление версии jQuery, используемой администратором, с 3.3.1 до 3.5.1.