Примечания к выпуску Django 4.2.11¶
4 марта 2024 г.
В Django 4.2.11 исправлена проблема безопасности с уровнем серьезности «средний» и регрессом в версии 4.2.10.
CVE-2024-27351: потенциальный отказ в обслуживании с использованием регулярных выражений в django.utils.text.Truncator.words()¶
Метод django.utils.text.Truncator.words() (с html=True) и шаблонный фильтр truncatewords_html подвергались потенциальной атаке типа «отказ в обслуживании» с использованием регулярных выражений с использованием специально созданной строки (см. CVE 2019-14232 и CVE 2023-43665).
Исправления¶
Исправлена регрессия в Django 4.2.10, где фильтр шаблона
intcommaмог возвращать ведущую запятую для строкового представления чисел с плавающей запятой (#35172).