Django 4.0.2 release notes¶

CVE-2022-22818: Möjlig XSS via {% debug %} malltagg¶

Malltaggen {% debug %} kodade inte den aktuella kontexten korrekt, vilket möjliggjorde en XSS-attack.

För att undvika denna sårbarhet skriver {% debug %} inte längre ut information när inställningen DEBUG är False och säkerställer att alla kontextvariabler är korrekt escapade när inställningen DEBUG är True.

CVE-2022-23833: Denial-of-service-möjlighet i filuppladdningar¶

Att skicka vissa inmatningar till flerpartsformulär kunde resultera i en oändlig loop när filer analyserades.

Buggrättningar¶

• Åtgärdat ett fel i Django 4.0 där TestCase.captureOnCommitCallbacks() kunde utföra callbacks flera gånger (#33410).

• Åtgärdade en regression i Django 4.0 där help_text var HTML-escaped i automatiskt genererade formulär (#33419).

• Åtgärdade en regression i Django 4.0 som orsakade visning av ett felaktigt namn för klassbaserade vyer på den tekniska 404-felsökningssidan (#33425).

• Fixade en regression i Django 4.0 som orsakade en felaktig repr av ResolverMatch för klassbaserade vyer (#33426).

• Fixade en regression i Django 4.0 som orsakade en krasch av makemigrations på modeller utan Meta.order_with_respect_to men med ett fält som heter _order (#33449`).

• Åtgärdat en regression i Django 4.0 som orsakade felaktig ModelAdmin.radio_fields layout i admin (#33407).

• Åtgärdade en regression med duplicerade operationer i Django 4.0 som orsakade en migreringskrasch när man ändrade en primärnyckeltyp för en konkret överordnad modell som refererades till av en främmande nyckel (#33462).

• Åtgärdat ett fel i Django 4.0 som orsakade en krasch av QuerySet.aggregate() efter annotate() på en aggregatfunktion med en default (#33468).

• Åtgärdade en regression i Django 4.0 som orsakade en krasch av makemigrations när man bytte namn på ett fält i en omdöpta modell (#33480).