CVE-2024-41989: нехватка памяти в django.utils.numberformat.floatformat().¶

Если бы floatformat получал строковое представление числа в научной записи с большим показателем степени, это могло привести к значительному потреблению памяти.

Чтобы избежать этого, десятичные дроби, содержащие более 200 цифр, теперь возвращаются как есть.

CVE-2024-41990: Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize().¶

urlize и urlizetrunc подвергались потенциальной атаке типа «отказ в обслуживании» посредством очень больших входных данных с определенной последовательностью символов.

CVE-2024-41991: Потенциальная уязвимость типа «отказ в обслуживании» в django.utils.html.urlize() и AdminURLFieldWidget.¶

urlize, urlizetrunc и AdminURLFieldWidget подвергались потенциальной атаке типа «отказ в обслуживании» через определенные входные данные с очень большим количеством символов Юникода.

CVE-2024-42005: потенциальное внедрение SQL в QuerySet.values() и values_list().¶

Методы QuerySet.values() и values_list() в моделях с JSONField подвергались SQL-инъекции в псевдонимы столбцов через созданный объектный ключ JSON в качестве переданного *arg.

Исправления¶

• Исправлена ​​регрессия в Django 4.2.14, приводившая к сбою в LocaleMiddleware при обработке языкового кода длиной более 500 символов (#35627).