Примечания к выпуску Django 4.1.7

14 февраля 2023 г.

В Django 4.1.7 исправлена проблема безопасности со степенью серьезности «умеренная» и ошибка в версии 4.1.6.

CVE-2023-24580: Потенциальная уязвимость отказа в обслуживании при загрузке файлов

Передача определенных входных данных в многокомпонентные формы могла привести к слишком большому количеству открытых файлов или исчерпанию памяти, что создавало потенциальный вектор для атаки типа «отказ в обслуживании».

Количество разбираемых частей файлов теперь ограничено с помощью новой настройки DATA_UPLOAD_MAX_NUMBER_FILES.

Исправления

  • В Django 4.1 исправлена ошибка, приводившая к аварийному завершению проверки модели на ValidationError при отсутствии code (#34319).
Вернуться на верх