Примечания к выпуску Django 4.2.17¶
December 4, 2024
Django 4.2.17 исправляет одну проблему безопасности с высокой степенью серьезности и одну проблему безопасности со средней степенью серьезности в версии 4.2.16.
CVE-2024-53907: Возможность отказа в обслуживании в strip_tags()¶
strip_tags() было бы крайне медленно обрабатывать определенные входные данные, содержащие большие последовательности вложенных неполных HTMLentities. Метод strip_tags() используется для реализации соответствующего шаблонного фильтра striptags, который, таким образом, также уязвим.
strip_tags() теперь имеет верхний предел рекурсивных вызовов HTMLParser перед вызовом исключения SuspiciousOperation.
Помните, что нет абсолютно никакой гарантии того, что результаты strip_tags() будут безопасны для HTML. Поэтому НИКОГДА не помечайте безопасным результат вызова strip_tags(), не экранировав его сначала, например, с помощью django.utils.html.escape().
CVE-2024-53908: Потенциальная SQL-инъекция через HasKey(lhs, rhs) в Oracle¶
Прямое использование поиска django.db.models.fields.json.HasKey в Oracle было связано с внедрением SQL, если в качестве значения lhs использовались ненадежные данные.
Приложения, использующие поиск по has_key с помощью синтаксиса __, остаются незатронутыми.