Django 2.2.13发布说明

June 3, 2020

Django 2.2.13修复了2.2.12中的两个安全问题和一个回归。

UTE-2020-13254:通过格式错误的memcached密钥可能泄露数据

如果memcached后台不执行密钥验证,传递格式错误的缓存密钥可能会导致密钥冲突和潜在的数据泄露。为了避免此漏洞,将密钥验证添加到memcached缓存后台。

UTE-2020-13596:可能通过管理员进行XSS ForeignKeyRawIdWidget

为管理员查询参数 ForeignKeyRawIdWidget 未正确编码URL,构成XSS攻击载体。 ForeignKeyRawIdWidget 现在确保查询参数正确进行URL编码。

错误修正

  • 修复了Django 2.2.12中的回归,该回归影响了为领土语言变体和通用语言提供翻译的应用程序的翻译加载,其中该项目针对该语言具有不同的复数方程 (#31570 )。

  • 跟踪jQuery安全发布,将管理员使用的jQuery版本从3.3.1升级到3.5.1。

« previous | up | next »