Django 4.2.17发布说明

December 4, 2024

Django 4.2.17修复了4.2.16中严重程度为“高”的一个安全问题和严重程度为“中等”的一个安全问题。

UTE-2024-53907:拒绝服务的可能性 strip_tags()

strip_tags() 评估包含大量嵌套不完整HTML实体序列的某些输入将极其缓慢。的 strip_tags() 方法用于实现相应的 striptags 模板过滤器,因此也很脆弱。

strip_tags() 现在有递归调用的上限, HTMLParser 在提出一个 SuspiciousOperation 例外.

请记住,绝对不提供有关结果的保证 strip_tags() HTML安全。因此,永远不要将结果标记为安全 strip_tags() 调用而不先逸出它,例如 django.utils.html.escape()

UTE-2024-53908:潜在的SQL注入 HasKey(lhs, rhs) 在Oracle上

直接使用 django.db.models.fields.json.HasKey 如果将不受信任的数据用作 lhs

使用 has_key 通过 __ 语法不受影响。

« previous | up | next »