Django 4.2.5 版本发行说明

2023 年 9 月 4 日

Django 4.2.5 修复了一个”中等”严重性的安全问题,以及 4.2.4 版本中的几个错误。

CVE-2023-41164: django.utils.encoding.uri_to_iri() 中的潜在拒绝服务漏洞

django.utils.encoding.uri_to_iri() 可能受到通过带有大量 Unicode 字符的某些输入发起的拒绝服务攻击的影响。

漏洞修复

  • 在 Django 4.2 中修复了一个回归问题,该问题导致在针对 JSONField 进行 __isnull 查找时,CheckConstraints 的验证不正确 (#34754)。
  • 在 Django 4.2 中修复了一个 bug,该 bug 导致已弃用的 DEFAULT_FILE_STORAGESTATICFILES_STORAGE 设置未与 STORAGES 同步 (#34773)。
  • 在 Django 4.2.2 中修复了一个回归问题,该问题导致在序列化过程中不必要地选择了一个没有自然键的非空 ManyToManyField (#34779)。
  • 在 Django 4.2 中修复了一个回归问题,该问题导致在针对深度嵌套的 OuterRef() 注释进行过滤时,查询集发生崩溃 (#34803)。