Примечания к выпуску Django 2.1.9 ¶
3 июня 2019 г.,
Django 2.1.9 исправляет проблемы безопасности в 2.1.8.
CVE-2019-12308: AdminURLFieldWidget XSS ¶
Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidgetотображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.
AdminURLFieldWidgetтеперь проверяет предоставленное значение с помощью
URLValidatorперед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_classkwarg
AdminURLFieldWidget.__init__(), например, при использовании
formfield_overrides.
Запатченный связанный пакет jQuery для CVE-2019-11358: загрязнение прототипа ¶
jQuery до 3.4.0 неправильно обрабатывается из-за
загрязнения. Если необработанный исходный объект содержал перечислимое свойство, он мог бы расширить родное свойство
.jQuery.extend(true, {}, ...)Object.prototype__proto__Object.prototype
Пакетная версия jQuery, используемая администратором Django, была исправлена, чтобы позволить select2библиотеке использовать файлы jQuery.extend().