Django 发布安全更新:4.0.2、3.2.12 和 2.2.27
根据我们的安全发布策略,Django 团队发布了Django 4.0.2、Django 3.2.12 和 Django 2.2.27。这些版本修复了以下详细说明的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2022-22818:通过以下方式可能存在的 XSS 漏洞{% debug %}模板标签
该{% debug %}模板标签没有正确编码当前上下文,构成了 XSS 攻击载体。
为了避免此漏洞,{% debug %}当DEBUG设置 为False时,不再输出信息,并且它确保在DEBUG设置 为True.
时所有上下文变量都正确转义。
感谢 Keryn Knight 报告此问题。
根据 Django 安全策略,此问题的严重性为“中等”。
CVE-2022-23833:文件上传中可能存在的拒绝服务漏洞
向多部分表单传递某些输入可能会导致在解析文件时出现无限循环。
感谢 Keryn Knight 报告此问题。
感谢 Alan Ryan 报告此问题。
- 受影响的支持版本
- Django 主分支
- Django 4.0
- Django 3.2
Django 2.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支以及 4.0、3.2 和 2.2 发布分支。可以从以下变更集中获取这些补丁。
- 已发布以下版本
- Django 4.0.2 (下载 Django 4.0.2 | 4.0.2 校验和)
- Django 3.2.12 (下载 Django 3.2.12 | 3.2.12 校验和)
Django 2.2.27 (下载 Django 2.2.27 | 2.2.27 校验和)
此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的常见说明与以往一样,我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com
