CVE-2025-48432: Потенциальное внедрение журнала через неэкранированный путь запроса.¶

Внутреннее ведение журнала HTTP-ответов напрямую использовало request.path, позволяя записывать в журналы управляющие символы (например, символы новой строки или escape-последовательности ANSI) без экранирования. Это может привести к внедрению или подделке журналов, позволяя злоумышленникам манипулировать внешним видом или структурой журналов, особенно журналов, обрабатываемых внешними системами или просматриваемых на терминалах.

Хотя это не влияет напрямую на модель безопасности Django, это создает риски, когда журналы используются или интерпретируются другими инструментами. Чтобы исправить это, внутренняя функция django.utils.log.log_response() теперь экранирует все аргументы позиционного форматирования, используя безопасное кодирование.