Примечания к выпуску Django 1.11.27¶

CVE-2019-19844: Потенциальный взлом учетной записи через форму сброса пароля¶

Предоставив соответствующим образом созданный адрес электронной почты, использующий символы Unicode, который при сравнении совпадает с существующим электронным адресом пользователя, если его нижний регистр уменьшить для сравнения, злоумышленник может получить токен сброса пароля для соответствующей учетной записи.

Чтобы избежать этой уязвимости, запросы на сброс пароля теперь сравнивают отправленный email с помощью более строгого, рекомендованного алгоритма сравнения двух идентификаторов без учета регистра из Unicode Technical Report 36, section 2.11.2(B)(2). В случае совпадения, письмо, содержащее маркер сброса, будет отправлено на зарегистрированный адрес электронной почты, а не на отправленный адрес.

Исправления¶

• Исправлена возможность потери данных в SplitArrayField. При использовании с ArrayField(BooleanField()) все значения после первого значения True помечались как проверенные вместо сохранения пройденных значений (#31073).