Возможность отказа в обслуживании в представлении logout() путем заполнения хранилища сеансов¶

Раньше сеанс можно было создать при анонимном доступе к представлению django.contrib.auth.views.logout() (при условии, что оно не было украшено login_required(), как это делается в администраторе). Это может позволить злоумышленнику легко создавать множество новых записей сеансов, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая удаление записей сеансов других пользователей.

SessionMiddleware был изменен, чтобы больше не создавать пустые записи сеанса, в том числе, когда SESSION_SAVE_EVERY_REQUEST активен.

Кроме того, методы contrib.sessions.backends.base.SessionBase.flush() и cache_db.SessionStore.flush() были изменены, чтобы избежать создания нового пустого сеанса. Специалисты по обслуживанию сторонних сессионных серверов должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если таковая имеется.