Исправлена ​​возможность утечки настроек в фильтре шаблонов date.¶

Если приложение позволяет пользователям указывать непроверенный формат дат и передает этот формат фильтру date, например {{last_updated|date:user_date_format }}, то злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например "SECRET_KEY" вместо "j/m/Y".

Чтобы исправить это, базовая функция, используемая фильтром шаблона date, django.utils.formats.get_format(), теперь позволяет получить доступ только к настройкам форматирования даты/времени.

Исправления¶

• Исправлена ​​возможность потери данных с помощью Prefetch, если для to_attr установлено значение ManyToManyField (#25693).