Примечания к выпуску Django 2.2.2 ¶
3 июня 2019 г.,
Django 2.2.2 исправляет проблемы безопасности и несколько ошибок в 2.2.1.
CVE-2019-12308: AdminURLFieldWidget XSS ¶
Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidget
отображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.
AdminURLFieldWidget
теперь проверяет предоставленное значение с помощью
URLValidator
перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_class
kwarg
AdminURLFieldWidget.__init__()
, например, при использовании
formfield_overrides
.
PATCHED в комплекте JQuery для CVE-2019-11358: загрязнение Prototype ¶
jQuery до 3.4.0 неправильно обрабатывается из-за
загрязнения. Если необработанный исходный объект содержал перечислимое свойство, он мог бы расширить родное свойство
.jQuery.extend(true, {}, ...)
Object.prototype
__proto__
Object.prototype
Связанная версия jQuery, используемая администратором Django, была исправлена, чтобы позволить select2
библиотеке использовать файлы jQuery.extend()
.
Исправления ошибок ¶
- Исправлена регрессия в Django 2.2, из-за которой переключатели Показать / Скрыть перестали работать с динамически добавленными встроенными строками администратора ( # 30459 ).
- Исправлена регрессия в Django 2.2, когда сообщение
Meta.ordering
об устаревании вылетало, если оно содержит выражение ( # 30463 ). - Исправлена регрессия в Django 2.2.1, где
SearchVector
генерируется SQL с избыточнымCoalesce
вызовом ( # 30488 ). - Исправлена регрессия в Django 2.2, когда автоперезагрузчик не обнаруживал изменения в
manage.py
файле при использованииStatReloader
( # 30479 ). - Исправлен сбой
аргумента
ArrayAgg
иStringAgg
сordering
аргументом при использовании вSubquery
( # 30315 ). - Исправлена регрессия в Django 2.2, которая вызвала сбой автоперезагрузчика при возникновении исключения с настраиваемой подписью ( # 30516 ).
- Исправлена регрессия в Django 2.2.1, из-за которой автоперезагрузчик без необходимости перезагружал файлы перевода несколько раз при использовании
StatReloader
( # 30523 ).