CVE-2021-23336：通过以下方式进行 Web 缓存投毒django.utils.http.limited_parse_qsl()

Django 包含一个副本urllib.parse.parse_qsl()它被添加进来是为了向后移植一些安全修复程序。最近发布了一个进一步的安全修复程序，以便parse_qsl()不再允许默认使用;作为查询参数分隔符。Django 现在包含此修复程序。有关详细信息，请参见bpo-42967。

根据 Django 安全策略，此问题的严重程度为中等。

受影响的受支持版本

• Django 3.2（目前处于 Beta 状态）
• Django 3.1
• Django 3.0
• Django 2.2

解决方案

已将解决此问题的补丁应用于 3.2、3.1、3.0 和 2.2 发布分支。这些补丁可以从以下变更集中获取

• 在3.2 发布分支上
• 在3.1 发布分支上
• 在3.0 发布分支上
• 在2.2 发布分支上

已发布以下版本

• Django 3.1.7（下载 Django 3.1.7 | 3.1.7 校验和）
• Django 3.0.13（下载 Django 3.0.13 | 3.0.13 校验和）
• Django 2.2.19（下载 Django 2.2.19 | 2.2.19 校验和）

这些版本使用的 PGP 密钥 ID 是 Carlton Gibson：E17DF5C82B4F9D00。

Django 3.2 beta 1 将于今天晚些时候在单独的博客文章中发布。

关于安全报告的常规说明

与以往一样，我们要求通过私人电子邮件向security@djangoproject.com报告潜在的安全问题，而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略以获取更多信息。