December 18, 2019
Django 1.11.27修复了1.11.26中的安全问题和数据丢失错误。
通过使用Unicode字符提交适当制作的电子邮件地址(在大小写进行比较时与现有用户电子邮件相同),攻击者可以收到匹配帐户的密码重置令牌。
为了避免此漏洞,密码重置请求现在使用更严格的推荐算法来比较提交的电子邮件,用于对来自的两个标识符进行区分大小写的比较 Unicode Technical Report 36, section 2.11.2(B)(2). 匹配后,包含重置令牌的电子邮件将被发送到记录中的电子邮件地址,而不是提交的地址。
修复了中数据丢失的可能性 SplitArrayField .与之一起使用时 ArrayField(BooleanField()) ,所有值都在第一个之后 True 值被标记为已检查,而不是保留传递的值 (#31073 )。
7月 22, 2024