Примечания к выпуску Django 2.2.9 ¶

CVE-2019-19844: потенциальный взлом аккаунта с помощью формы для сброса пароля ¶

Отправив соответствующим образом созданный адрес электронной почты с использованием символов Unicode, который сравнивается с существующим адресом электронной почты пользователя в нижнем регистре для сравнения, злоумышленнику может быть отправлен токен сброса пароля для сопоставленной учетной записи.

Чтобы избежать этой уязвимости, запросы на сброс пароля теперь сравнивают отправленное электронное письмо с использованием более строгого рекомендованного алгоритма без учета регистра двух идентификаторов из Технического отчета Unicode 36, раздел 2.11.2 (B) (2) . После совпадения электронное письмо, содержащее токен сброса, будет отправлено на указанный адрес электронной почты, а не на указанный адрес.

Исправления ¶

• Исправлена ​​возможность потери данных в SplitArrayField. При использовании with ArrayField(BooleanField())все значения после первого Trueзначения были отмечены как проверенные вместо сохранения переданных значений ( # 31073 ).