Django 3.2.11 versionsinformation¶

CVE-2021-45115: Denial-of-service-möjlighet i UserAttributeSimilarityValidator¶

UserAttributeSimilarityValidator orsakade betydande omkostnader när den utvärderade inskickade lösenord som var artificiellt stora i förhållande till jämförelsevärdena. Under förutsättning att åtkomsten till användarregistreringen var obegränsad utgjorde detta en potentiell vektor för en överbelastningsattack.

För att mildra detta problem ignoreras nu relativt långa värden av UserAttributeSimilarityValidator.

This issue has severity ”medium” according to the Django security policy.

CVE-2021-45116: Potentiellt informationsavslöjande i mallfiltret dictsort¶

På grund av utnyttjandet av Django Template Language’s variabelupplösningslogik, var dictsort mallfiltret potentiellt sårbart för informationsavslöjande eller oavsiktliga metodanrop, om det skickades en lämpligt utformad nyckel.

För att undvika denna möjlighet arbetar dictsort nu med en begränsad upplösningslogik, som inte anropar metoder eller tillåter indexering på ordböcker.

Som en påminnelse bör alla otillförlitliga användarinmatningar valideras före användning.

This issue has severity ”low” according to the Django security policy.

CVE-2021-45452: Möjlig katalogtraversering via Storage.save()¶

Storage.save() tillät katalogtraversering om lämpligt utformade filnamn skickades direkt.

This issue has severity ”low” according to the Django security policy.