Примечания к выпуску Django 3.0.7 ¶

CVE-2020-13254: потенциальная утечка данных через неверно сформированные ключи memcached ¶

В случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, к бэкэндам кеш-памяти memcached добавлена ​​проверка ключей.

CVE-2020-13596: возможен XSS через администратора ForeignKeyRawIdWidget¶

Параметры запроса для администратора ForeignKeyRawIdWidgetне были правильно закодированы в URL-адресе, что создавало вектор атаки XSS. ForeignKeyRawIdWidgetтеперь гарантирует, что параметры запроса правильно закодированы в URL.

Исправления ¶

• Исправлена ​​регрессия в Django 3.0 путем восстановления возможности использования поиска по полям в Meta.ordering( # 31538 ).
• Исправлена ​​регрессия в Django 3.0, когда QuerySet.values()и происходил values_list()сбой, если набор запросов содержал агрегацию и аннотацию подзапроса ( # 31566 ).
• Исправлена ​​регрессия в Django 3.0, когда агрегаты использовали неправильные аннотации, когда в наборе запросов было несколько аннотаций подзапросов ( # 31568 ).
• Исправлена ​​регрессия в Django 3.0, когда QuerySet.values()и происходил values_list()сбой, если набор запросов содержал агрегацию и Exists()аннотацию в Oracle ( # 31584 ).
• Исправлена ​​регрессия в Django 3.0, когда все разрешенные Subquery() выражения считались равными ( # 31607 ).
• Исправлена ​​регрессия в Django 3.0.5, которая повлияла на загрузку переводов для приложений, предоставляющих переводы для территориальных языковых вариантов, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка ( # 31570 ).
• Отслеживая выпуск безопасности jQuery, обновил версию jQuery, используемую администратором, с 3.4.1 до 3.5.1.