Примечания к выпуску Django 4.2.15¶

CVE-2024-41989: Исчерпание памяти в django.utils.numberformat.floatformat()¶

Если floatformat получено строковое представление числа в научной нотации с большим показателем степени, это может привести к значительному расходу памяти.

Чтобы избежать этого, десятичные знаки, содержащие более 200 цифр, теперь возвращаются как есть.

CVE-2024-41990: Потенциальная уязвимость для отказа в обслуживании в django.utils.html.urlize()¶

urlize и urlizetrunc были подвержены потенциальной атаке типа «отказ в обслуживании» с использованием очень больших входных данных с определенной последовательностью символов.

CVE-2024-41991: Потенциальная уязвимость для отказа в обслуживании в django.utils.html.urlize() и AdminURLFieldWidget¶

urlize, urlizetrunc, и AdminURLFieldWidget были подвержены потенциальной атаке типа «отказ в обслуживании» через определенные входные данные с очень большим количеством символов Unicode.

CVE-2024-42005: Потенциальная SQL-инъекция в QuerySet.values() и values_list()¶

Методы QuerySet.values() и values_list() в моделях с JSONField были подвергнуты SQL-инъекции в псевдонимы столбцов с помощью созданного объектного ключа JSON в виде переданного *arg.

Исправления ошибок¶

• Исправлена регрессия в Django 4.2.14, которая приводила к сбою в LocaleMiddleware при обработке языкового кода длиной более 500 символов. (#35627).