Django 2.1.9发行说明

2019年6月3日

Django 2.1.9修复了2.1.8中的安全问题。

CVE-2019-12308:管理字段编辑器XSS

可点击的“当前URL”链接由 AdminURLFieldWidget 显示提供的值,但不将其验证为安全的URL。因此,存储在数据库中的未验证值或作为URL查询参数有效负载提供的值可能导致可单击的javascript链接。

AdminURLFieldWidget 现在使用验证提供的值 URLValidator 在显示可点击链接之前。您可以通过传递 validator_class 克瓦格 AdminURLFieldWidget.__init__() ,例如使用时 formfield_overrides .

CVE-2019-11358补丁捆绑jquery:原型污染

jquery 3.4.0之前的错误处理 jQuery.extend(true, {{}}, ...) 因为 Object.prototype 污染。如果未初始化的源对象包含可枚举的 __proto__ 属性,它可以扩展本机 Object.prototype .

django管理员使用的jquery捆绑版本已进行了修补,以允许 select2 类库使用 jQuery.extend() .

« previous | up | next »