CVE-2021-45115: возможность отказа в обслуживании в UserAttributeSimilarityValidator.¶

UserAttributeSimilarityValidator повлек за собой значительные накладные расходы при оценке отправленного пароля, который был искусственно большим по сравнению со значениями сравнения. Если предположить, что доступ к регистрации пользователей не ограничен, это создает потенциальный вектор для атаки типа «отказ в обслуживании».

Чтобы смягчить эту проблему, относительно длинные значения теперь игнорируются UserAttributeSimilarityValidator.

Эта проблема имеет уровень серьезности «средний» в соответствии с политикой безопасности Django.

CVE-2021-45116: потенциальное раскрытие информации в фильтре шаблонов dictsort.¶

Из-за использования логики переменного разрешения языка шаблонов Django фильтр шаблонов dictsort был потенциально уязвим для раскрытия информации или непреднамеренных вызовов методов, если ему передавался специально созданный ключ.

Чтобы избежать такой возможности, dictsort теперь работает с логикой ограниченного разрешения, которая не вызывает методы и не позволяет индексировать словари.

Напоминаем, что все ненадежные пользовательские данные должны быть проверены перед использованием.

Эта проблема имеет низкий уровень серьезности в соответствии с политикой безопасности Django.

CVE-2021-45452: Потенциальный обход каталога с помощью Storage.save().¶

Storage.save() разрешал обход каталогов, если напрямую передавались специально созданные имена файлов.

Эта проблема имеет низкий уровень серьезности в соответствии с политикой безопасности Django.