Django 5.0.9发布说明

September 3, 2024

Django 5.0.9修复了5.0.8中严重程度为“中等”的一个安全问题和严重程度为“低”的一个安全问题。

UTE-2024-45230:中的潜在拒绝服务漏洞 django.utils.html.urlize()

urlizeurlizetrunc 通过具有特定字符序列的非常大的输入而受到潜在的拒绝服务攻击。

UTE-2024-45231:通过密码重置的响应状态列举潜在用户电子邮件

由于未处理的电子邮件发送失败, PasswordResetForm 类允许远程攻击者通过发出密码重置请求并观察结果来列举用户电子邮件。

为了减轻此风险,现在使用 django.contrib.auth 记录员。

« previous | up | next »