Django 4.0.9 版本发行说明

2023 年 2 月 1 日

Django 4.0.9 修复了 4.0.8 版本中一个"中等"严重性的安全问题。

CVE-2023-23969: 通过 Accept-Language 标头的潜在拒绝服务漏洞

为了避免重复解析,Accept-Language 标头的解析值被缓存起来。如果发送大型标头值,这可能导致潜在的拒绝服务攻击向量,因为会占用大量内存。

为了避免这个漏洞,现在对 Accept-Language 标头进行了最大长度限制的解析。

Django 4.0.10 版本发行说明
Django 4.0.8 版本发行说明
Back to Top