Django 4.1.9 版本发行说明

2023 年 5 月 3 日

Django 4.1.9 修复了 4.1.8 版本中一个严重程度为”低”的安全问题。

CVE-2023-31047 :通过使用一个表单字段上传多个文件时,存在绕过验证的潜在漏洞。

使用一个表单字段上传多个文件从未得到 forms.FileFieldforms.ImageField 的支持,因为只有最后上传的文件会被验证。不幸的是,上传多个文件 主题提到了相反的情况。

为了避免这个漏洞,现在当在 ClearableFileInputFileInput 表单小部件上设置了 multiple HTML 属性时,它们会引发 ValueError。为了防止异常并保持旧的行为,将 allow_multiple_selected 设置为 True

有关使用新属性以及通过单个字段处理多个文件的更多详细信息,请参阅 上传多个文件