CVE-2018-6188：中的信息泄漏AuthenticationForm

Django 1.11.8 中的一个回归导致django.contrib.auth.forms.AuthenticationForm即使输入错误密码也会运行其confirm_login_allowed()方法。这可能会泄露有关用户的信息，具体取决于哪些消息confirm_login_allowed()引发。如果confirm_login_allowed()未被覆盖，攻击者可以输入任意用户名并查看该用户是否被设置为is_active=False。如果confirm_login_allowed()被覆盖，则可能会泄露更多敏感详细信息。

感谢 Jack Cushman 报告此问题。

受影响的支持版本

• Django 主分支
• Django 2.0 和 2.0.1
• Django 1.11.8 和 1.11.9

根据我们的支持版本策略，Django 1.10 和 1.9 不再受支持（但不受影响）。Django 1.8 LTS（安全支持将于 4 月 1 日结束）不受影响。

解决方案

已将解决此问题的补丁应用于 Django 的主分支和 2.0 和 1.11 发布分支。补丁可从以下更改集中获取

• 在主分支上
• 在2.0 发布分支上
• 在1.11 发布分支上

已发布以下版本

• Django 1.11.10 (下载 Django 1.11.10 | 1.11.10 校验和)
• Django 2.0.2 (下载 Django 2.0.2 | 2.0.2 校验和)

这些版本使用的 PGP 密钥 ID 为 Tim Graham：1E8ABDC773EDE252。

关于安全报告的常规说明

与往常一样，我们要求将潜在的安全问题通过私人电子邮件报告给security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息，请参阅我们的安全策略。