Примечания к выпуску Django 2.2.2

3 июня 2019 г.,

Django 2.2.2 исправляет проблемы безопасности и несколько ошибок в 2.2.1.

CVE-2019-12308: AdminURLFieldWidget XSS

Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidgetотображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.

AdminURLFieldWidgetтеперь проверяет предоставленное значение с помощью URLValidatorперед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_classkwarg AdminURLFieldWidget.__init__(), например, при использовании formfield_overrides.

Запатченный связанный пакет jQuery для CVE-2019-11358: загрязнение прототипа

jQuery до 3.4.0 неправильно обрабатывается из-за загрязнения. Если необработанный исходный объект содержал перечислимое свойство, он мог бы расширить родное свойство .jQuery.extend(true, {}, ...)Object.prototype__proto__Object.prototype

Пакетная версия jQuery, используемая администратором Django, была исправлена, чтобы позволить select2библиотеке использовать файлы jQuery.extend().

Исправления

  • Исправлена ​​регрессия в Django 2.2, из-за которой переключатели Показать / Скрыть перестали работать с динамически добавленными встроенными строками администратора ( # 30459 ).
  • Исправлена ​​регрессия в Django 2.2, когда сообщение Meta.orderingоб устаревании вылетало, если оно содержит выражение ( # 30463 ).
  • Исправлена ​​регрессия в Django 2.2.1, где SearchVectorгенерируется SQL с избыточным Coalesceвызовом ( # 30488 ).
  • Исправлена ​​регрессия в Django 2.2, когда автозагрузчик не обнаруживал изменения в manage.pyфайле при использовании StatReloader( # 30479 ).
  • Исправлен сбой аргумента ArrayAggи StringAggс orderingаргументом при использовании в Subquery( # 30315 ).
  • Исправлена ​​регрессия в Django 2.2, которая приводила к сбою автоперезагрузки при возникновении исключения с настраиваемой подписью ( # 30516 ).
  • Исправлена ​​регрессия в Django 2.2.1, когда автоперезагрузчик без необходимости перезагружал файлы перевода несколько раз при использовании StatReloader ( # 30523 ).

Copyright ©2021 All rights reserved