Django 5.0.2 版本发行说明
2024 年 2 月 6 日
Django 5.0.2 修复了一个严重程度为 “中等” 的安全问题和 5.0.1 中的几个漏洞。此外,还加入了 Transifex 的最新字符串翻译。
CVE-2024-24680:intcomma
模板过滤器中存在潜在的拒绝服务漏洞
使用非常长的字符串时,intcomma
模板过滤器存在潜在的拒绝服务攻击风险。
漏洞修复
- 重新允许,在 Django 5.0.1 中出现回归后,对不包含在 ModelAdmin.list_filter 中的本地外键进行过滤(#35087)。
- 在 Django 5.0 中修复了一个回归问题,该问题导致管理界面中的链接颜色不正确(#35121)。
- 在 Django 5.0 中修复了一个问题,导致具有
GeneratedField
的模型的Model.full_clean()
崩溃(#35127)。 - 修复了 Django 5.0 中的一个回归问题,该问题导致
FilteredRelation()
与查询集作为右侧引发崩溃(#35135)。现在,FilteredRelation()
在查询集作为右侧时会引发ValueError
。 - 修复了 Django 5.0 中的一个回归问题,该问题导致在基本查询集使用
prefetch_related()
时,dumpdata
管理命令崩溃(#35159)。 - 修复了 Django 5.0 中的一个回归问题,导致在通过 ASGI 服务器运行 Django 时,
request_finished
信号有时不会被触发,可能导致资源泄漏(#35059)。 - 修复了 Django 5.0 中的一个错误,该错误导致在 MySQL 上添加包含一个
db_default
的BinaryField
、TextField
、JSONField
或GeometryField
时会发生迁移崩溃(#35162)。 - 修复了 Django 5.0 中的一个错误,该错误导致具有复杂类型(例如
JSONField
的dict
实例)的文字db_default
的模型迁移崩溃。运行makemigrations
可能会为使用db_default
的字段生成无操作的AlterField
操作(#35149)。