Django 4.1.12 版本发行说明¶

2023 年 10 月 4 日

Django 4.1.12 修复了 4.1.11 版本中一些"中等"严重性的安全问题。

CVE-2023-43665: `django.utils.text.Truncator` 中的可能导致拒绝服务的漏洞¶

在修复了 CVE-2019-14232 后，重新审查并改进了 django.utils.text.Truncator 的 chars() 和 words() 方法（使用 html=True）中使用的正则表达式。但是，这些正则表达式仍然表现出线性回溯复杂性，因此如果输入一个非常长且可能格式不正确的 HTML 输入，评估仍然会很慢，从而导致潜在的拒绝服务漏洞。

chars() 和 words() 方法用于实现 truncatechars_html 和 truncatewords_html 模板过滤器，因此这些模板过滤器也存在漏洞。

为了避免潜在的性能和内存问题，当以 HTML 模式运行时，Truncator 处理的输入已被限制为前五百万个字符。

Django 4.1.13 版本发行说明

Django 4.1.11 版本发行说明

内容

Django 4.1.12 版本发行说明
- CVE-2023-43665: django.utils.text.Truncator 中的可能导致拒绝服务的漏洞

浏览

当前位置

Django 5.1 文档
- 发行说明
  - Django 4.1.12 版本发行说明

FAQ: 尝试查看 FAQ — 它包括了很多常见问题的答案
索引, 模块索引, or 目录: 查找特定信息时比较容易
django-users mailing list: 在 django-users 邮件列表存档中搜索信息，或者发布一个问题。
#django IRC channel: 在 #django IRC 频道上提问，或者搜索 IRC 历史找到相似的问题与解答。
Django Discord Server: Join the Django Discord Community.
Official Django Forum: Join the community on the Django Forum.
Ticket tracker: 在我们的 `ticket tracker`_ 中报告 Django 或 Django 文档的 Bug。

下载：

离线 (Django 5.1): HTML | PDF | ePub
由 Read the Docs 提供。

文档

Django 4.1.12 版本发行说明¶

CVE-2023-43665: `django.utils.text.Truncator` 中的可能导致拒绝服务的漏洞¶

附加信息

Support Django!

内容

浏览

当前位置

获取帮助

下载：

Django Links

Learn More

Get Involved

Get Help

Follow Us

Support Us

文档

Django 4.1.12 版本发行说明¶

CVE-2023-43665: django.utils.text.Truncator 中的可能导致拒绝服务的漏洞¶

附加信息

Support Django!

内容

浏览

当前位置

获取帮助

下载：

CVE-2023-43665: `django.utils.text.Truncator` 中的可能导致拒绝服务的漏洞¶