Примечания к выпуску Django 2.2.22¶
6 мая 2021
Django 2.2.22 исправляет проблему безопасности в версии 2.2.21.
CVE-2021-32052: Возможность инъекции заголовка, поскольку URLValidator
принимал новые строки во вводе на Python 3.9.5+¶
В Python 3.9.5+, URLValidator
не запрещал новые строки и табуляцию. Если вы использовали значения с новыми строками в HTTP-ответе, вы могли пострадать от атак инъекции заголовков. Сам Django не был уязвим, поскольку HttpResponse
запрещает новые строки в HTTP-заголовках.
Более того, поле формы URLField
, которое использует URLValidator
, молча удаляет новые строки и табуляции на Python 3.9.5+, поэтому возможность попадания новых строк в ваши данные существует только в том случае, если вы используете этот валидатор вне полей формы.
Эта проблема была введена исправлением bpo-43882.