CVE-2024-27351: Potential regular expression denial-of-service in django.utils.text.Truncator.words()¶

django.utils.text.Truncator.words() method (with html=True) and truncatewords_html template filter were subject to a potential regular expression denial-of-service attack using a suitably crafted string (follow up to CVE-2019-14232 and CVE-2023-43665).

Bugfixes¶

• Django 5.0.2 において、intcomma テンプレートフィルタが float 表現の文字列に対して先頭のカンマを返してしまう場合があるリグレッションを修正しました (#35172)。
• Django 5.0 において、すべてのレシーバが非同期関数の場合に Signal.asend() と asend_robust() がクラッシュしてしまうバグを修正しました (#35174)。
• Django 5.0.1 において、ModelAdmin.list_filter にフィールドが含まれていない場合に、ModelAdmin.lookup_allowed() が __isnull のようなルックアップを使用している外部キーに対するフィルタリングをブロックしてしまうリグレッションを修正しました (#35173)。
• Django 5.0 でのリグレッションを修正しました。.pyc ファイルからロードされた関数において @sensitive_variables および @sensitive_post_parameters デコレータがクラッシュを引き起こしていました (#35187)。
• Django 5.0 でのリグレッションを修正しました。ベースマネージャーのベースクエリセットが prefetch_related() を使用したときに、テストデータベースをリロードする際にクラッシュを引き起こしていました (#35238)。
• Django 5.0 のバグを1つ修正しました。admin 内のファセットフィルタが、主キーのないクエリセットを使用したときに SimpleListFilter でクラッシュしていました (#35198)。