CVE-2019-19844: потенциальный захват учетной записи через форму сброса пароля.¶

Отправив соответствующим образом созданный адрес электронной почты с использованием символов Юникода, который для сравнения равен существующему адресу электронной почты пользователя, если для сравнения используется нижний регистр, злоумышленнику может быть отправлен токен сброса пароля для соответствующей учетной записи.

Чтобы избежать этой уязвимости, запросы на сброс пароля теперь сравнивают отправленное электронное письмо с использованием более строгого рекомендуемого алгоритма сравнения двух идентификаторов без учета регистра из «Технического отчета Unicode 36, раздел 2.11.2(B)(2)»__. В случае совпадения электронное письмо, содержащее токен сброса, будет отправлено на зарегистрированный адрес электронной почты, а не на отправленный адрес.

Исправления¶

• Исправлена ​​возможность потери данных в SplitArrayField. При использовании с ArrayField(BooleanField()) все значения после первого значения True помечались как проверенные вместо сохранения переданных значений (#31073).