Примечания к выпуску Django 4.2.5¶

CVE-2023-41164: Потенциальная уязвимость отказа в обслуживании в django.utils.encoding.uri_to_iri()¶

django.utils.encoding.uri_to_iri() был подвержен потенциальной атаке типа «отказ в обслуживании» через определенные входные данные с очень большим количеством символов Unicode.

Исправления¶

• Исправлена регрессия в Django 4.2, приводившая к некорректной проверке CheckConstraints при поиске __isnull относительно JSONField (#34754).
• Исправлена ошибка в Django 4.2, когда устаревшие настройки DEFAULT_FILE_STORAGE и STATICFILES_STORAGE не синхронизировались с STORAGES (#34773).
• Исправлена регрессия в Django 4.2.2, приводившая к ненулевому выбору ManyToManyField без естественного ключа при сериализации (#34779).
• В Django 4.2 исправлена регрессия, приводившая к аварийному завершению работы кверисета при фильтрации по глубоко вложенным аннотациям OuterRef() (#34803).