CVE-2023-43665: django.utils.text.Truncator におけるサービス拒否攻撃 (DoS) の可能性¶

CVE-2019-14232 の修正に伴い、django.utils.text.Truncator の chars() メソッドと words() メソッド(html=True を使用した 場合)の実装に使用される正規表現が見直され、改善されました。しかし、これらの正規表現は依然として線形バックトラッキングの複雑さを示しているため、非常に長い、潜在的に不正な HTML 入力が与えられた場合、評価は依然として遅く、潜在的なサービス拒否 (DoS) の脆弱性につながりました。

chars() と words() メソッドは、それによって脆弱性があった truncatechars_html と truncatewords_html テンプ レートフィルタの実装に使用されます。

Truncator がHTMLモードで動作している場合に処理される入力は、潜在的なパフォーマンスとメモリの問題を避けるために最初の500万文字に制限されています。