Примечания к выпуску Django 2.2.13

3 июня 2020

Django 2.2.13 исправляет две проблемы безопасности и регрессию в 2.2.12.

CVE-2020-13254: Потенциальная утечка данных через неправильно сформированные ключи memcached

В случаях, когда бэкенд memcached не выполняет проверку ключей, передача неправильно сформированных ключей кэша может привести к столкновению ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, в бэкенды кэша memcached добавлена проверка ключей.

CVE-2020-13596: Возможный XSS через администратора ForeignKeyRawIdWidget

Параметры запроса для администратора ForeignKeyRawIdWidget не были правильно закодированы в URL, что создавало вектор XSS-атаки. Теперь ForeignKeyRawIdWidget обеспечивает правильное кодирование URL параметров запроса.

Исправления

  • Исправлена регрессия в Django 2.2.12, которая влияла на загрузку переводов для приложений, предоставляющих переводы для территориальных вариантов языка, а также общего языка, когда проект имеет различные уравнения множественного числа для языка (#31570).
  • Отслеживание выпуска безопасности jQuery, обновление версии jQuery, используемой администратором, с 3.3.1 до 3.5.1.
Вернуться на верх