Django 4.1.2 版本发行说明¶
2022 年 10 月 4 日
Django 4.1.2 修复了一个"中等"严重性的安全问题,以及 4.1.1 版本中的几个错误。
CVE-2022-41323 :国际化 URL 中存在潜在的拒绝服务漏洞。¶
国际化 URL 可能通过 locale 参数受到拒绝服务攻击的威胁。
漏洞修复¶
- 在 Django 4.1 中修复了一个问题,导致在 PostgreSQL 上添加带有
ExclusionConstraint
的模型时迁移崩溃的回归问题(#33982)。 - 在 Django 4.1 中修复了一个问题,导致对包含
Exists
注释的查询集进行聚合时,由于选择的列过多而崩溃的回归问题(#33992)。 - 在 Django 4.1 中修复了一个问题,导致对
NULL
值的CheckConstraint
验证不正确的错误(#33996)。 - 在 Django 4.1 中修复了一个问题,导致在
ArrayAgg()
和JSONBAgg()
上使用QuerySet.values()/values_list()
时崩溃的回归问题(#34016)。 - 在 Django 4.1 中修复了一个问题,导致在通过弹出窗口添加/更改相关实例后,
ModelAdmin.autocomplete_fields
被不正确选择的错误(#34025)。 - 在 Django 4.1 中修复了一个问题,在使用
multiprocessing
启动方法spawn
运行并行测试时,应用程序注册表未填充的回归问题(#34010)。 - 在 Django 4.1 中修复了一个问题,在使用
multiprocessing
启动方法spawn
运行并行测试时,test
命令的--debug-mode
参数无法工作的回归问题(#34010)。 - 在 Django 4.1 中修复了一个问题,当在 PostgreSQL 上更改预先在 Django 4.1 之前创建的序列列的类型时,未更改序列类型的回归问题(#34058)。
- 在 Django 4.1 中修复了一个问题,当处理不允许的 HTTP 方法时,使用异步处理程序的
View
子类崩溃的回归问题(#34062)。 - 已回退了与
ForeignKey
、ManyToManyField
和GenericRelation
相关的缓存管理器,这导致相关对象的不正确刷新(#33984)。 - 对 Django 4.1 中添加的系统检查进行了放宽,用于同一名称用于多个模板标签模块的情况,现在是一个警告(#32987)。