Примечания к выпуску Django 3.0.13¶
19 февраля 2021 года
Django 3.0.13 исправляет проблему безопасности в версии 3.0.12.
CVE-2021-23336: отравление веб-кэша через django.utils.http.limited_parse_qsl()
¶
Django содержит копию urllib.parse.parse_qsl()
, которая была добавлена для обратного переноса некоторых исправлений безопасности. Недавно было выпущено еще одно исправление безопасности, согласно которому parse_qsl()
больше не позволяет использовать ;
в качестве разделителя параметров запроса по умолчанию. Django теперь включает это исправление. Смотрите bpo-42967 для более подробной информации.