Примечания к выпуску Django 4.1.9¶

CVE-2023-31047: потенциальный обход проверки при загрузке нескольких файлов через одно поле формы¶

Загрузка нескольких файлов с помощью одного поля формы никогда не поддерживалась в forms.FileField или forms.ImageField, так как проверялся только последний загруженный файл. К сожалению, тема Загрузка нескольких файлов в Django предполагала обратное.

Для того чтобы избежать уязвимости, виджеты форм ClearableFileInput и FileInput теперь поднимают ValueError при установке на них HTML-атрибута multiple. Чтобы предотвратить исключение и сохранить старое поведение, установите allow_multiple_selected в значение True.

Подробнее об использовании нового атрибута и работе с несколькими файлами через одно поле см. в разделе Загрузка нескольких файлов в Django.