2024年3月4日
Django 5.0.3 では、1つの深刻度「moderate」のセキュリティ問題と、Django 5.0.2 にあったいくつかのバグを修正しました。
django.utils.text.Truncator.words()
における正規表現によるサービス拒否の可能性¶django.utils.text.Truncator.words()
メソッド(html=True
を使用時)および truncatewords_html
テンプレートフィルタは、攻撃のために作られた文字列を使用した潜在的な正規表現によるサービス拒否攻撃の対象となっていました (CVE-2019-14232 および CVE-2023-43665 のフォローアップ)。
intcomma
テンプレートフィルタが float 表現の文字列に対して先頭のカンマを返してしまう場合があるリグレッションを修正しました (#35172)。Signal.asend()
と asend_robust()
がクラッシュしてしまうバグを修正しました (#35174)。ModelAdmin.list_filter
にフィールドが含まれていない場合に、ModelAdmin.lookup_allowed()
が __isnull
のようなルックアップを使用している外部キーに対するフィルタリングをブロックしてしまうリグレッションを修正しました (#35173)。.pyc
ファイルからロードされた関数において @sensitive_variables
および @sensitive_post_parameters
デコレータがクラッシュを引き起こしていました (#35187)。prefetch_related()
を使用したときに、テストデータベースをリロードする際にクラッシュを引き起こしていました (#35238)。SimpleListFilter
でクラッシュしていました (#35198)。8月 06, 2024