Примечания к выпуску Django 2.2.13 ¶
3 июня 2020 г.
Django 2.2.13 исправляет две проблемы безопасности и регресс в 2.2.12.
CVE-2020-13254: потенциальная утечка данных через неверно сформированные ключи memcached ¶
В случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, к бэкэндам кеш-памяти memcached добавлена проверка ключей.
CVE-2020-13596: возможен XSS через администратора ForeignKeyRawIdWidget
¶
Параметры запроса для администратора ForeignKeyRawIdWidget
не были правильно закодированы в URL-адресе, что создавало вектор атаки XSS. ForeignKeyRawIdWidget
теперь гарантирует, что параметры запроса правильно закодированы в URL.
Исправления ¶
- Исправлена регрессия в Django 2.2.12, которая влияла на загрузку переводов для приложений, предоставляющих переводы для территориальных языковых вариантов, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка ( # 31570 ).
- Отслеживая выпуск безопасности jQuery, обновил версию jQuery, используемую администратором, с 3.3.1 до 3.5.1.