Django 2.1.6 版本发行说明

2019 年 2 月 11 日

Django 2.1.6 修复了 2.1.5 版本中的一个安全问题和一个错误。

CVE-2019-6975: django.utils.numberformat.format() 中的内存耗尽问题。

如果 django.utils.numberformat.format() — 被 contrib.admin 以及 floatformatfilesizeformatintcomma 模板过滤器使用 — 收到具有大量数字或大指数的 Decimal,它可能会导致由于调用 '{:f}'.format() 而导致显著的内存使用。

为避免这种情况,现在使用科学记数法格式化超过 200 位数的小数。

漏洞修复

  • 使 InlineModelAdmin.has_add_permission()obj 参数变为可选,以恢复与不提供该参数的第三方代码的向后兼容性 (#30097)。