Примечания к выпуску Django 3.2.12¶
1 февраля 2022 года
Django 3.2.12 исправляет две проблемы безопасности со степенью серьезности «средняя» в версии 3.2.11.
CVE-2022-22818: Возможный XSS через тег шаблона {% debug %}
¶
Тег шаблона {% debug %}
не кодировал должным образом текущий контекст, создавая вектор XSS-атаки.
Чтобы избежать этой уязвимости, {% debug %}
больше не выводит информацию, когда параметр DEBUG
имеет значение False
, и обеспечивает правильную экранировку всех контекстных переменных, когда параметр DEBUG
имеет значение True
.
CVE-2022-23833: возможность отказа в обслуживании при загрузке файлов¶
Передача определенных входных данных в многокомпонентные формы могла привести к бесконечному циклу при разборе файлов.