Django 5.0.2 版本发行说明

2024 年 2 月 6 日

Django 5.0.2 修复了一个严重程度为 “中等” 的安全问题和 5.0.1 中的几个漏洞。此外,还加入了 Transifex 的最新字符串翻译。

CVE-2024-24680:intcomma 模板过滤器中存在潜在的拒绝服务漏洞

使用非常长的字符串时,intcomma 模板过滤器存在潜在的拒绝服务攻击风险。

漏洞修复

  • 重新允许,在 Django 5.0.1 中出现回归后,对不包含在 ModelAdmin.list_filter 中的本地外键进行过滤(#35087)。
  • 在 Django 5.0 中修复了一个回归问题,该问题导致管理界面中的链接颜色不正确(#35121)。
  • 在 Django 5.0 中修复了一个问题,导致具有 GeneratedField 的模型的 Model.full_clean() 崩溃(#35127)。
  • 修复了 Django 5.0 中的一个回归问题,该问题导致 FilteredRelation() 与查询集作为右侧引发崩溃(#35135)。现在,FilteredRelation() 在查询集作为右侧时会引发 ValueError
  • 修复了 Django 5.0 中的一个回归问题,该问题导致在基本查询集使用 prefetch_related() 时,dumpdata 管理命令崩溃(#35159)。
  • 修复了 Django 5.0 中的一个回归问题,导致在通过 ASGI 服务器运行 Django 时,request_finished 信号有时不会被触发,可能导致资源泄漏(#35059)。
  • 修复了 Django 5.0 中的一个错误,该错误导致在 MySQL 上添加包含一个 db_defaultBinaryFieldTextFieldJSONFieldGeometryField 时会发生迁移崩溃(#35162)。
  • 修复了 Django 5.0 中的一个错误,该错误导致具有复杂类型(例如 JSONFielddict 实例)的文字 db_default 的模型迁移崩溃。运行 makemigrations 可能会为使用 db_default 的字段生成无操作的 AlterField 操作(#35149)。