The web framework for perfectionists with deadlines.

Dokumentation
  • dev
  • Documentation version: 5.2

Django 2.1.9 release notes

3 juni 2019

Django 2.1.9 åtgärdar säkerhetsproblem i 2.1.8.

CVE-2019-12308: AdminURLFieldWidget XSS

Den klickbara länken ”Current URL” som genererades av AdminURLFieldWidget visade det angivna värdet utan att validera det som en säker URL. Således kan ett ogiltigt värde som lagras i databasen, eller ett värde som tillhandahålls som en URL-frågeparameters nyttolast, resultera i en klickbar JavaScript-länk.

AdminURLFieldWidget validerar nu det angivna värdet med hjälp av URLValidator` innan den klickbara länken visas. Du kan anpassa valideraren genom att skicka en validator_class kwarg till AdminURLFieldWidget.__init__(), t.ex. när du använder formfield_overrides.

Patchade bundlade jQuery för CVE-2019-11358: Prototypförorening

jQuery före 3.4.0, missköter jQuery.extend(true, {}, ...) på grund av Object.prototype förorening. Om ett osanerat källobjekt innehöll en uppräkningsbar __proto__-egenskap kunde det förlänga den ursprungliga Object.prototype.

Den medföljande versionen av jQuery som används av Django-administratören har korrigerats för att tillåta select2-bibliotekets användning av jQuery.extend().

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.2): HTML | PDF | ePub
Provided by Read the Docs.