Django 2.2.27 版本发行说明¶
2022 年 2 月 1 日
Django 2.2.27 修复了 2.2.26 中的两个严重程度为 "中等" 的安全问题。
CVE-2022-22818: 可能通过 {% debug %}
模板标签进行跨站脚本攻击 (XSS) 攻击¶
{% debug %}
模板标签没有正确编码当前上下文,存在跨站脚本攻击 (XSS) 攻击风险。
为了避免这个漏洞,当 DEBUG
设置为 False
时,{% debug %}
不再输出信息,并且在 DEBUG
设置为 True
时,它确保所有上下文变量都正确地进行了转义。
CVE-2022-23833 : 文件上传中可能存在拒绝服务漏洞。¶
传递特定的输入到多部分表单可能导致在解析文件时进入无限循环。