3.2.4 примечания к выпуску

Что нового в версии 3.2.4

Исправления ошибок

  • Исправьте настройки кэша

  • Исправление поиска пользователя для ограничений просмотра/разрешений страницы при использовании необработанного поля id

  • Исправлена регрессия, когда страница не могла быть скопирована, если CMS_PERMISSION было False

  • Устраняет проблему, связанную с удалением приложения с разделенными именами

  • Добавляет разрешение «Может изменять страницу»

  • Устранен ряд проблем с деревом страниц, которые при определенных условиях могли привести к повреждению данных

  • Устраняет уязвимости безопасности в теге шаблона render_model, которые могут привести к повышению привилегий или другим проблемам безопасности.

  • Устранение уязвимости безопасности в использовании cms фреймворка сообщений

  • Устраняет уязвимости безопасности в пользовательских FormFields, которые могли привести к эскалации привилегий или другим проблемам безопасности.

Важно

В этой версии django CMS появилась новая настройка: CMS_UNESCAPED_RENDER_MODEL_TAGS со значением по умолчанию True. Это значение по умолчанию позволяет проводить обновления, не заставляя пользователей django CMS что-либо делать, но, пожалуйста, имейте в виду, что эта настройка по-прежнему допускает наличие известных уязвимостей безопасности. В связи с этим, новая настройка немедленно устаревает и будет удалена в ближайшем будущем релизе.

Чтобы немедленно повысить безопасность вашего проекта и подготовиться к будущим выпускам django CMS и связанных с ним аддонов, администратор проекта должен тщательно проверять каждое использование тегов шаблона render_model, предоставляемых django CMS. Ему или ей рекомендуется убедиться, что все содержимое, которое выводится на страницу с помощью этого тега шаблона, очищено от любой потенциально вредной HTML-разметки, стилей CSS или JavaScript. Когда администратор или разработчик убедится, что содержимое чистое, он может добавить параметр фильтра «safe» к тегу шаблона render_model, если содержимое должно быть выведено без экранирования. Если нет необходимости выводить содержимое без экранирования, дальнейшие действия не требуются.

После того как все теги шаблонов будут просмотрены и при необходимости скорректированы, администратор должен установить CMS_UNESCAPED_RENDER_MODEL_TAGS = False в настройках проекта. В этот момент проект становится более безопасным и будет готов к любым будущим обновлениям.

DjangoCMS Text CKEditor

Необходимые действия

CMS 3.2.1 не совместим с djangocms-text-ckeditor < 2.8.1. Если вы используете djangocms-text-ckeditor, пожалуйста, обновите его до версии 2.8.1 или более поздней.

Примечания к выпуску 3.2.5
3.2.3 примечания к выпуску
Вернуться на верх