The web framework for perfectionists with deadlines.

Dokumentation
  • dev
  • Documentation version: 5.2

Django 2.2.2 release notes

3 juni 2019

Django 2.2.2 åtgärdar säkerhetsproblem och flera buggar i 2.2.1.

CVE-2019-12308: AdminURLFieldWidget XSS

Den klickbara länken ”Current URL” som genererades av AdminURLFieldWidget visade det angivna värdet utan att validera det som en säker URL. Således kan ett ogiltigt värde som lagras i databasen, eller ett värde som tillhandahålls som en URL-frågeparameters nyttolast, resultera i en klickbar JavaScript-länk.

AdminURLFieldWidget validerar nu det angivna värdet med hjälp av URLValidator` innan den klickbara länken visas. Du kan anpassa valideraren genom att skicka en validator_class kwarg till AdminURLFieldWidget.__init__(), t.ex. när du använder formfield_overrides.

Patchade bundlade jQuery för CVE-2019-11358: Prototypförorening

jQuery före 3.4.0, missköter jQuery.extend(true, {}, ...) på grund av Object.prototype förorening. Om ett osanerat källobjekt innehöll en uppräkningsbar __proto__-egenskap kunde det förlänga den ursprungliga Object.prototype.

Den medföljande versionen av jQuery som används av Django-administratören har korrigerats för att tillåta select2-bibliotekets användning av jQuery.extend().

Buggrättningar

  • Fixade en regression i Django 2.2 som gjorde att Show/Hide-reglagen inte fungerade på dynamiskt tillagda admin-inlines (#30459).

  • Åtgärdade en regression i Django 2.2 där deprecation-meddelandet kraschar om Meta.ordering innehåller ett uttryck (#30463).

  • Åtgärdade en regression i Django 2.2.1 där SearchVector genererar SQL med ett överflödigt Coalesce-anrop (#30488`).

  • Åtgärdade en regression i Django 2.2 där automatisk återladdare inte upptäcker ändringar i filen manage.py när du använder StatReloader (#30479`).

  • Fixad krasch av ArrayAgg och StringAgg med ordering argument när det används i en Subquery (#30315).

  • Åtgärdat en regression i Django 2.2 som orsakade en krasch av auto-reloader när ett undantag med anpassad signatur uppstår (#30516).

  • Fixat en regression i Django 2.2.1 där auto-reloader i onödan laddar om översättningsfiler flera gånger när man använder StatReloader (#30523).

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.2): HTML | PDF | ePub
Provided by Read the Docs.