Django 4.1.7 版本发行说明

2023 年 2 月 14 日

Django 4.1.7 修复了一个安全问题,严重程度为”中等”,以及 4.1.6 版本中的一个错误。

CVE-2023-24580 :文件上传中存在潜在的拒绝服务漏洞。

向多部分表单传递特定输入可能导致过多的打开文件或内存耗尽,并为拒绝服务攻击提供了潜在的入口。

现在通过新的 DATA_UPLOAD_MAX_NUMBER_FILES 设置来限制解析的文件部分数量。

漏洞修复

  • 在 Django 4.1 中修复了一个问题,导致在没有 code 的情况下对 ValidationError 进行模型验证时崩溃的错误(#34319)。