CVE-2024-53907: Возможность отказа в обслуживании в strip_tags()¶

strip_tags() будет очень медленно оценивать определенные входные данные, содержащие большие последовательности вложенных неполных HTML-объектов. Метод Strip_tags() используется для реализации соответствующего шаблонного фильтра striptags, который, таким образом, также был уязвим.

strip_tags() теперь имеет верхний предел рекурсивных вызовов HTMLParser перед созданием исключения SuspiciousOperation.

Помните, что НЕ дается абсолютно НИКАКОЙ гарантии того, что результаты strip_tags() будут безопасными для HTML. Поэтому НИКОГДА не отмечайте безопасным результат вызова strip_tags() без его предварительного экранирования, например, с помощью django.utils.html.escape().

CVE-2024-53908: Потенциальное внедрение SQL через HasKey(lhs, rhs) в Oracle.¶

Прямое использование поиска django.db.models.fields.json.HasKey в Oracle подвергалось внедрению SQL, если в качестве значения lhs использовались ненадежные данные.

Приложения, использующие поиск has_key через синтаксис __, не затрагиваются.

Исправления¶

• Исправлен сбой в createsuperuser на Python 3.13+, вызванный необработанной OSError, когда имя пользователя не могло быть определено (#35942).

• Исправлена ​​регрессия в Django 5.1, из-за которой реляционные поля не обновлялись при вызове Model.refresh_from_db() в экземплярах с отложенными полями (#35950).