January 4, 2022
Django 2.2.26修复了2.2.25中严重程度为“中”的一个安全问题和严重程度为“低”的两个安全问题。
UserAttributeSimilarityValidator¶UserAttributeSimilarityValidator 评估提交的密码时产生了大量开销,这些密码相对于比较值人为地较大。假设对用户注册的访问是不受限制的,这为拒绝服务攻击提供了一个潜在的媒介。
为了缓解此问题,现在将忽略相对较长的值 UserAttributeSimilarityValidator 。
这个问题的严重性是“中等”,根据 Django security policy 。
dictsort 模板过滤器¶由于利用了Django模板语言的可变分辨率逻辑, dictsort 如果传递适当定制的密钥,模板筛选器可能容易受到信息泄漏或意外方法调用的攻击。
为了避免这种可能性, dictsort 现在使用受限的解析逻辑,该逻辑不会调用方法,也不允许对词典进行索引。
需要提醒的是,所有不受信任的用户输入都应在使用前进行验证。
这个问题的严重性是“低”,根据 Django security policy 。
Storage.save()¶Storage.save() 如果直接传递适当定制的文件名,则允许目录遍历。
这个问题的严重性是“低”,根据 Django security policy 。
12月 18, 2023