CVE-2020-13254：通过格式错误的 memcached 键可能导致数据泄漏

如果 memcached 后端没有执行键验证，传递格式错误的缓存键可能导致键冲突，并可能导致数据泄漏。为了避免此漏洞，已向 memcached 缓存后端添加了键验证。

感谢 Dan Palmer 提供的报告和补丁。

CVE-2020-13596：通过管理员界面可能存在的 XSS 漏洞ForeignKeyRawIdWidget

管理员界面的查询参数ForeignKeyRawIdWidget未正确进行 URL 编码，构成 XSS 攻击媒介。ForeignKeyRawIdWidget现在确保查询参数已正确进行 URL 编码。

感谢 Jon Dufresne 提供的报告和补丁。

受影响的受支持版本

• Django 主分支
• Django 3.1（目前为 alpha 版本）
• Django 3.0
• Django 2.2

解决方案

已将解决此问题的补丁应用于 Django 的主分支和 3.1、3.0 和 2.2 发布分支。补丁可从以下 changeset 获取：

CVE-2020-13254

• 在主分支上
• 在3.1 发布分支上
• 在3.0 发布分支上
• 在2.2 发布分支上

CVE-2020-13596

• 在主分支上
• 在3.1 发布分支上
• 在3.0 发布分支上
• 在2.2 发布分支上

已发布以下版本：

• Django 3.0.7（下载 Django 3.0.7 | 3.0.7 校验和）
• Django 2.2.13（下载 Django 2.2.13 | 2.2.13 校验和）

这些版本使用的 PGP 密钥 ID 为 Carlton Gibson：E17DF5C82B4F9D00。

关于安全报告的常规说明

与以往一样，我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅我们的安全策略了解更多信息。