Django 2.2.9 release notes¶

CVE-2019-19844: Potentiell kontokapning via formulär för återställning av lösenord¶

Genom att skicka in en lämpligt utformad e-postadress som använder Unicode-tecken och som är lika med en befintlig användares e-postadress när den är gemenerad för jämförelse, kan en angripare få en token för återställning av lösenord för det matchade kontot.

För att undvika denna sårbarhet jämför nu begäran om återställning av lösenord det skickade e-postmeddelandet med hjälp av den strängare, rekommenderade algoritmen för jämförelse av två identifierare utan skiftlägeskänslighet från Unicode Technical Report 36, avsnitt 2.11.2(B)(2)`__. Vid en matchning skickas e-postmeddelandet som innehåller återställningstoken till den registrerade e-postadressen i stället för till den inskickade adressen.

Buggrättningar¶

• Åtgärdade en möjlig dataförlust i SplitArrayField. Vid användning med ArrayField(BooleanField()) markerades alla värden efter det första True-värdet som kontrollerade istället för att bevara godkända värden (#31073).