Django 3.2.19 リリースノート¶
2023年5月3日
Django 3.2.19 は、3.2.18 の深刻度 "low" のセキュリティ問題を修正しました。
CVE-2023-31047: 1つのフォームフィールドを使用して複数のファイルをアップロードする際の検証のバイパスが可能な脆弱性¶
forms.FileField
や forms.ImageField
は、1つのフォームフィールドを使用して複数のファイルをアップロードすることをサポートしていないため、常に最後にアップロードされたファイルのみが検証されていました。残念ながら、複数のファイルをアップロードする トピックではそれとは違うことを示唆していました。
脆弱性を回避するために、ClearableFileInput
と FileInput
フォームウィジェットは、multiple
HTML 属性が設定されている場合に ValueError
を発生させるようになりました。例外を防ぎ、以前の動作を維持するには、 allow_multiple_selected
を True
に設定してください。
新しい属性の使用方法や、1つのフィールドを介して複数のファイルを処理する詳細については、複数のファイルをアップロードする を参照してください。