Django 发布安全更新:5.0.3、4.2.11 和 3.2.25
根据我们的安全发布策略,Django 团队发布了Django 5.0.3、Django 4.2.11 和 Django 3.2.25。这些版本修复了以下详细说明的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2024-27351:潜在的正则表达式拒绝服务漏洞位于django.utils.text.Truncator.words()
django.utils.text.Truncator.words()方法(使用html=True) 和truncatewords_html模板过滤器可能受到使用精心构造的字符串的潜在正则表达式拒绝服务攻击(CVE-2019-14232 和 CVE-2023-43665 的后续)。
感谢 Seokchan Yoon 报告此问题。
根据 Django 安全策略,此问题的严重程度为“中等”。
受影响的支持版本
- Django 5.0
- Django 4.2
- Django 3.2
解决方案
已将修复此问题的补丁应用于 5.0、4.2 和 3.2 发布分支。补丁可从以下更改集中获取
已发布以下版本
- Django 5.0.3 (下载 Django 5.0.3 | 5.0.3 校验和)
- Django 4.2.11 (下载 Django 4.2.11 | 4.2.11 校验和)
- Django 3.2.25 (下载 Django 3.2.25 | 3.2.25 校验和)
此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的常规说明
与往常一样,我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅我们的安全策略。
