Примечания к выпуску Django 5.0.3¶

CVE-2024-27351: Потенциальный отказ в обслуживании с помощью регулярных выражений в django.utils.text.Truncator.words()¶

метод django.utils.text.Truncator.words() (с html=True) и фильтр шаблона truncatewords_html были подвержены потенциальной атаке типа «отказ в обслуживании» с использованием регулярных выражений с использованием соответствующим образом сформированной строки (в соответствии с CVE-2019-14232 и CVE-2023-43665).

Исправления¶

• Исправлена регрессия в Django 5.0.2, при которой intcomma фильтр шаблона мог возвращать начальную запятую для строкового представления чисел с плавающей запятой (#35172).
• Исправлена ошибка в Django 5.0, которая приводила к сбою Signal.asend() и asend_robust(), когда все приемники выполняли асинхронные функции (#35174).
• Исправлена регрессия в Django 5.0.1, при которой ModelAdmin.lookup_allowed() предотвращало фильтрацию по внешним ключам с использованием поиска типа __isnull, когда поле не было включено в ModelAdmin.list_filter (#35173).
• Исправлена регрессия в Django 5.0, которая приводила к сбою декораторов @sensitive_variables и @sensitive_post_parameters в функциях, загружаемых из файлов .pyc (#35187).
• Исправлена регрессия в Django 5.0, которая приводила к сбою при перезагрузке тестовой базы данных и базового набора запросов для используемого базового менеджера prefetch_related() (#35238).
• Исправлена ошибка в Django 5.0, из-за которой фильтры фасетов в admin зависали при SimpleListFilter использовании набора запросов без первичных ключей (#35198).