Django 4.2.16 版本发行说明¶
2024 年 9 月 3 日
Django 4.2.16 修复了 4.2.15 中一个严重程度为“中等”的安全问题和一个严重程度为“低”的安全问题。
CVE-2024-45230: django.utils.html.urlize()
中潜在的拒绝服务漏洞¶
urlize
和 urlizetrunc
可能会因包含特定字符序列的非常大的输入而遭受潜在的拒绝服务攻击。
CVE-2024-45231: 通过密码重置的响应状态可能导致用户邮箱枚举¶
由于未处理的电子邮件发送失败,PasswordResetForm
类允许远程攻击者通过发出密码重置请求并观察结果来枚举用户邮箱。
为了缓解此风险,现在使用 django.contrib.auth 日志记录器处理和记录密码重置电子邮件发送过程中发生的异常。