Django 5.0.3 リリースノート¶
2024年3月4日
Django 5.0.3 では、1つの深刻度「moderate」のセキュリティ問題と、Django 5.0.2 にあったいくつかのバグを修正しました。
CVE-2024-27351: Potential regular expression denial-of-service in django.utils.text.Truncator.words()
¶
django.utils.text.Truncator.words()
method (with html=True
) and
truncatewords_html
template filter were subject to a potential
regular expression denial-of-service attack using a suitably crafted string
(follow up to CVE-2019-14232 and CVE-2023-43665).
Bugfixes¶
- Django 5.0.2 において、
intcomma
テンプレートフィルタが float 表現の文字列に対して先頭のカンマを返してしまう場合があるリグレッションを修正しました (#35172)。 - Django 5.0 において、すべてのレシーバが非同期関数の場合に
Signal.asend()
とasend_robust()
がクラッシュしてしまうバグを修正しました (#35174)。 - Django 5.0.1 において、
ModelAdmin.list_filter
にフィールドが含まれていない場合に、ModelAdmin.lookup_allowed()
が__isnull
のようなルックアップを使用している外部キーに対するフィルタリングをブロックしてしまうリグレッションを修正しました (#35173)。 - Django 5.0 でのリグレッションを修正しました。
.pyc
ファイルからロードされた関数において@sensitive_variables
および@sensitive_post_parameters
デコレータがクラッシュを引き起こしていました (#35187)。 - Django 5.0 でのリグレッションを修正しました。ベースマネージャーのベースクエリセットが
prefetch_related()
を使用したときに、テストデータベースをリロードする際にクラッシュを引き起こしていました (#35238)。 - Django 5.0 のバグを1つ修正しました。admin 内のファセットフィルタが、主キーのないクエリセットを使用したときに
SimpleListFilter
でクラッシュしていました (#35198)。