Django 4.2.15 versionsinformation¶

CVE-2024-41989: Minnesutmattning i django.utils.numberformat.floatformat()¶

Om floatformat tog emot en strängrepresentation av ett tal i vetenskaplig notation med en stor exponent, kunde det leda till betydande minnesförbrukning.

För att undvika detta returneras nu decimaler med mer än 200 siffror som de är.

CVE-2024-41990: Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize()¶

urlize och urlizetrunc var föremål för en potentiell överbelastningsattack via mycket stora indata med en specifik sekvens av tecken.

CVE-2024-41991: Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize() och AdminURLFieldWidget¶

urlize, urlizetrunc, och AdminURLFieldWidget var föremål för en potentiell överbelastningsattack via vissa indata med ett mycket stort antal Unicode-tecken.

CVE-2024-42005: Potentiell SQL-injektion i QuerySet.values() och values_list()¶

metoderna QuerySet.values() och values_list() på modeller med en JSONField var föremål för SQL-injektion i kolumnaliaser, via en manipulerad JSON-objektnyckel som ett godkänt *arg.

Buggrättningar¶

• Åtgärdade en regression i Django 4.2.14 som orsakade en krasch i LocaleMiddleware vid bearbetning av en språkkod över 500 tecken (#35627).