Примечания к выпуску Django 3.2.25¶
4 марта 2024 г.
В Django 3.2.25 исправлена проблема безопасности с уровнем серьезности «средний» и регрессом в версии 3.2.24.
CVE-2024-27351: потенциальный отказ в обслуживании с использованием регулярных выражений в django.utils.text.Truncator.words()¶
Метод django.utils.text.Truncator.words() (с html=True) и шаблонный фильтр truncatewords_html подвергались потенциальной атаке типа «отказ в обслуживании» с использованием регулярных выражений с использованием специально созданной строки (см. CVE 2019-14232 и CVE 2023-43665).
Исправления¶
Исправлена регрессия в Django 3.2.24, где фильтр шаблона
intcommaмог возвращать ведущую запятую для строкового представления чисел с плавающей запятой (#35172).