Django 2.2.26 release notes¶

CVE-2021-45115: Denial-of-service-möjlighet i UserAttributeSimilarityValidator¶

UserAttributeSimilarityValidator orsakade betydande omkostnader när den utvärderade inskickade lösenord som var artificiellt stora i förhållande till jämförelsevärdena. Under förutsättning att åtkomsten till användarregistreringen var obegränsad utgjorde detta en potentiell vektor för en överbelastningsattack.

För att mildra detta problem ignoreras nu relativt långa värden av UserAttributeSimilarityValidator.

Detta problem har allvarlighetsgrad ”medium” enligt Django säkerhetspolicy.

CVE-2021-45116: Potentiellt informationsavslöjande i mallfiltret dictsort¶

På grund av utnyttjandet av Django Template Language’s variabelupplösningslogik, var dictsort mallfiltret potentiellt sårbart för informationsavslöjande eller oavsiktliga metodanrop, om det skickades en lämpligt utformad nyckel.

För att undvika denna möjlighet arbetar dictsort nu med en begränsad upplösningslogik, som inte anropar metoder eller tillåter indexering på ordböcker.

Som en påminnelse bör alla otillförlitliga användarinmatningar valideras före användning.

Detta problem har allvarlighetsgraden ”låg” enligt Django säkerhetspolicy.

CVE-2021-45452: Möjlig katalogtraversering via Storage.save()¶

Storage.save() tillät katalogtraversering om lämpligt utformade filnamn skickades direkt.

Detta problem har allvarlighetsgraden ”låg” enligt Django säkerhetspolicy.