Примечания к выпуску Django 1.7.11¶

Исправлена возможность утечки настроек в фильтре шаблона date¶

Если приложение позволяет пользователям указывать непроверенный формат даты и передает этот формат в фильтр date, например {{ last_updated|date:user_date_format }}, то злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например "SECRET_KEY" вместо "j/m/Y".

Чтобы исправить это, базовая функция, используемая фильтром шаблона date, django.utils.formats.get_format(), теперь позволяет получить доступ только к настройкам форматирования даты/времени.

Исправления¶

• Исправлена возможность потери данных при использовании Prefetch, если to_attr установлен на ManyToManyField (#25693).