CVE-2024-45230: Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize().¶

urlize и urlizetrunc подвергались потенциальной атаке типа «отказ в обслуживании» посредством очень больших входных данных с определенной последовательностью символов.

CVE-2024-45231: потенциальное перечисление электронной почты пользователя по статусу ответа при сбросе пароля.¶

Из-за необработанных сбоев при отправке электронной почты класс PasswordResetForm позволял удаленным злоумышленникам подсчитывать электронные письма пользователей, отправляя запросы на сброс пароля и наблюдая за результатами.

Чтобы снизить этот риск, исключения, возникающие во время отправки электронной почты для сброса пароля, теперь обрабатываются и регистрируются с помощью регистратора django.contrib.auth.