Django 2.2.9 版本发行说明

2019 年 12 月 18 日

Django 2.2.9 修复了 Django 2.2.8 中的一个安全问题和一个数据丢失错误。

CVE-2019-19844 :通过密码重置表单可能导致账户劫持

通过提交一个精心设计的电子邮件地址,利用 Unicode 字符使其与现有用户电子邮件在进行比较时转换为小写后相等,攻击者可以为匹配的帐户发送密码重置令牌。

为了避免这个漏洞,密码重置请求现在使用更严格、推荐的算法来比较提交的电子邮件,用于不区分大小写比较两个标识符的算法来自 Unicode Technical Report 36, section 2.11.2(B)(2)。如果匹配成功,包含重置令牌的电子邮件将发送到记录的电子邮件地址,而不是提交的地址。

漏洞修复

  • 修复了 SplitArrayField 中的数据丢失可能性。当与 ArrayField(BooleanField()) 一起使用时,第一个 True 值后的所有值都被标记为已选中,而不是保留传递的值 (#31073)。