Примечания к выпуску Django 3.2.19¶
3 мая 2023 г.
В Django 3.2.19 исправлена проблема безопасности со степенью серьезности «низкая», присутствовавшая в версии 3.2.18.
CVE-2023-31047: потенциальный обход проверки при загрузке нескольких файлов через одно поле формы¶
Загрузка нескольких файлов с помощью одного поля формы никогда не поддерживалась в forms.FileField или forms.ImageField, так как проверялся только последний загруженный файл. К сожалению, тема Загрузка нескольких файлов в Django предполагала обратное.
Для того чтобы избежать уязвимости, виджеты форм ClearableFileInput и FileInput теперь поднимают ValueError при установке на них HTML-атрибута multiple. Чтобы предотвратить исключение и сохранить старое поведение, установите allow_multiple_selected в значение True.
Подробнее об использовании нового атрибута и работе с несколькими файлами через одно поле см. в разделе Загрузка нескольких файлов в Django.