В соответствии с политикой безопасности, команда Django выпускает Django 3.0.7 и Django 2.2.13. Эти выпуски решают проблему безопасности, подробно описанную ниже. Мы призываем всех пользователей Django обновиться как можно скорее.
В случаях, когда внутренняя память memcached не выполняет проверку ключей, передача неправильно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, проверка ключа добавляется в бэкэнд кэша memcached.
Спасибо Дэну Палмеру за отчет и патч.
Параметры запроса для admin ForeignKeyRawIdWidget
не были правильно закодированы в URL, что представляет вектор атаки XSS. ForeignKeyRawIdWidget
теперь обеспечивает правильное кодирование параметров запроса в URL.
Спасибо Джону Дюфрену за отчет и патч.
Патчи для решения проблемы были применены к основной ветке Django и веткам выпуска 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
CVE-2020-13254:
CVE-2020-13596:
Были выпущены следующие версии:
Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.
Как всегда, команда Django просит сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через Trac Django или список разработчиков Django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.