Примечания к выпуску Django 3.2.12

1 февраля 2022 года

Django 3.2.12 исправляет две проблемы безопасности со степенью серьезности «средняя» в версии 3.2.11.

CVE-2022-22818: Возможный XSS через тег шаблона {% debug %}

Тег шаблона {% debug %} не кодировал должным образом текущий контекст, создавая вектор XSS-атаки.

Чтобы избежать этой уязвимости, {% debug %} больше не выводит информацию, когда параметр DEBUG имеет значение False, и обеспечивает правильную экранировку всех контекстных переменных, когда параметр DEBUG имеет значение True.

CVE-2022-23833: возможность отказа в обслуживании при загрузке файлов

Передача определенных входных данных в многокомпонентные формы могла привести к бесконечному циклу при разборе файлов.

Вернуться на верх