Примечания к выпуску Django 2.2.2

3 июня 2019 г.,

Django 2.2.2 исправляет проблемы безопасности и несколько ошибок в 2.2.1.

CVE-2019-12308: AdminURLFieldWidget XSS

Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidget отображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.

AdminURLFieldWidget теперь проверяет предоставленное значение с помощью URLValidator перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_class kwarg AdminURLFieldWidget.__init__() , например, при использовании formfield_overrides .

PATCHED в комплекте JQuery для CVE-2019-11358: загрязнение Prototype

jQuery до 3.4.0 неправильно обрабатывается из-за загрязнения. Если необработанный исходный объект содержал перечислимое свойство, он мог бы расширить родное свойство .jQuery.extend(true, {}, ...) Object.prototype __proto__ Object.prototype

Связанная версия jQuery, используемая администратором Django, была исправлена, чтобы позволить select2 библиотеке использовать файлы jQuery.extend() .

Исправления ошибок

  • Исправлена ​​регрессия в Django 2.2, из-за которой переключатели Показать / Скрыть перестали работать с динамически добавленными встроенными строками администратора ( # 30459 ).
  • Исправлена ​​регрессия в Django 2.2, когда сообщение Meta.ordering об устаревании вылетало, если оно содержит выражение ( # 30463 ).
  • Исправлена ​​регрессия в Django 2.2.1, где SearchVector генерируется SQL с избыточным Coalesce вызовом ( # 30488 ).
  • Исправлена ​​регрессия в Django 2.2, когда автоперезагрузчик не обнаруживал изменения в manage.py файле при использовании StatReloader ( # 30479 ).
  • Исправлен сбой аргумента ArrayAgg и StringAgg с ordering аргументом при использовании в Subquery ( # 30315 ).
  • Исправлена ​​регрессия в Django 2.2, которая вызвала сбой автоперезагрузчика при возникновении исключения с настраиваемой подписью ( # 30516 ).
  • Исправлена ​​регрессия в Django 2.2.1, из-за которой автоперезагрузчик без необходимости перезагружал файлы перевода несколько раз при использовании StatReloader ( # 30523 ).

Copyright ©2020 All rights reserved