Примечания к выпуску Django 4.2.16¶
September 3, 2024
Django 4.2.16 исправляет одну проблему безопасности со степенью «средней» и одну проблему безопасности со степенью «низкой» в версии 4.2.15.
CVE-2024-45230: Потенциальная уязвимость для отказа в обслуживании в django.utils.html.urlize()¶
urlize и urlizetrunc были подвержены потенциальной атаке типа «отказ в обслуживании» с использованием очень больших входных данных с определенной последовательностью символов.
CVE-2024-45231: Список адресов электронной почты потенциальных пользователей по статусу ответа на сброс пароля¶
Из-за сбоев при отправке необработанной электронной почты класс PasswordResetForm позволял удаленным злоумышленникам просматривать электронные письма пользователей, отправляя запросы на сброс пароля и наблюдая за результатами.
Чтобы снизить этот риск, исключения, возникающие при отправке электронного письма со сбросом пароля, теперь обрабатываются и регистрируются с помощью регистратора django.contrib.auth.