Django 3.0.7 release notes¶

CVE-2020-13254: Potentiellt dataläckage via missbildade memcached-nycklar¶

I de fall där en memcached-backend inte utför nyckelvalidering kan överföring av missbildade cachekoder resultera i en nyckelkollision och potentiellt dataläckage. För att undvika denna sårbarhet har nyckelvalidering lagts till i memcached-cache-backends.

CVE-2020-13596: Möjlig XSS via admin ForeignKeyRawIdWidget¶

Frågeparametrar för admin ForeignKeyRawIdWidget var inte korrekt URL-kodade, vilket utgjorde en XSS-attackvektor. ForeignKeyRawIdWidget säkerställer nu att frågeparametrar är korrekt URL-kodade.

Buggrättningar¶

• Åtgärdade en regression i Django 3.0 genom att återställa möjligheten att använda fältuppslagningar i Meta.ordering (#31538).

• Åtgärdade en regression i Django 3.0 där QuerySet.values() och values_list() kraschade om en queryset innehöll en aggregering och en subquery-annotering (#31566).

• Åtgärdade en regression i Django 3.0 där aggregat använde felaktiga anteckningar när en frågeuppsättning har flera underfrågor (#31568).

• Åtgärdade en regression i Django 3.0 där QuerySet.values() och values_list() kraschade om en queryset innehöll en aggregering och en Exists()-annotation på Oracle (#31584).

• Åtgärdade en regression i Django 3.0 där alla upplösta Subquery() uttryck ansågs vara lika (#31607).

• Åtgärdade en regression i Django 3.0.5 som påverkade översättningsladdning för appar som tillhandahåller översättningar för territoriella språkvarianter samt ett generiskt språk, där projektet har olika pluralekvationer för språket (#31570).

• Spårning av en säkerhetsrelease för jQuery, uppgraderade den version av jQuery som används av administratören från 3.4.1 till 3.5.1.