Смягчена XSS-атака через свойства в ModelAdmin.readonly_fields.¶

Атрибут ModelAdmin.readonly_fields в администраторе Django позволяет отображать поля модели и атрибуты модели. В то время как первые удалось избежать правильно, вторые — нет. Таким образом, ненадежный контент может быть внедрен в администратора, что представляет собой вектор использования для XSS-атак.

В этой уязвимости каждый атрибут модели, используемый в readonly_fields, который не является фактическим полем модели (например, property), не сможет быть экранирован, даже если этот атрибут не помечен как безопасный. В этом выпуске автоэкранирование теперь применяется правильно.

Исправления¶

• Исправлен сбой при приведении ManyRelatedManager к строке (#24352).

• Исправлена ​​ошибка, из-за которой при миграции не добавлялось ограничение внешнего ключа при преобразовании существующего поля во внешний ключ (#24447).