Django 4.2.5 版本发行说明
2023 年 9 月 4 日
Django 4.2.5 修复了一个”中等”严重性的安全问题,以及 4.2.4 版本中的几个错误。
CVE-2023-41164: django.utils.encoding.uri_to_iri()
中的潜在拒绝服务漏洞
django.utils.encoding.uri_to_iri()
可能受到通过带有大量 Unicode 字符的某些输入发起的拒绝服务攻击的影响。
漏洞修复
- 在 Django 4.2 中修复了一个回归问题,该问题导致在针对
JSONField
进行__isnull
查找时,CheckConstraints
的验证不正确 (#34754)。 - 在 Django 4.2 中修复了一个 bug,该 bug 导致已弃用的
DEFAULT_FILE_STORAGE
和STATICFILES_STORAGE
设置未与STORAGES
同步 (#34773)。 - 在 Django 4.2.2 中修复了一个回归问题,该问题导致在序列化过程中不必要地选择了一个没有自然键的非空
ManyToManyField
(#34779)。 - 在 Django 4.2 中修复了一个回归问题,该问题导致在针对深度嵌套的
OuterRef()
注释进行过滤时,查询集发生崩溃 (#34803)。