Примечания к выпуску Django 2.1.9¶
3 июня 2019 г.
Django 2.1.9 исправляет проблемы безопасности в версии 2.1.8.
CVE-2019-12308: AdminURLFieldWidget XSS¶
Кликабельная ссылка «Текущий URL-адрес», созданная с помощью AdminURLFieldWidget, отображала предоставленное значение без проверки его как безопасного URL-адреса. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра URL-запроса, может привести к появлению кликабельной ссылки JavaScript.
AdminURLFieldWidget теперь проверяет предоставленное значение, используя URLValidator перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав kwarg validator_class в AdminURLFieldWidget.__init__(), например: при использовании formfield_overrides.
Исправленный встроенный jQuery для CVE-2019-11358: загрязнение прототипа¶
jQuery до версии 3.4.0 неправильно обрабатывает jQuery.extend(true, {}, ...) из-за загрязнения Object.prototype. Если необработанный исходный объект содержал перечислимое свойство __proto__, он мог бы расширить собственный Object.prototype.
Версия jQuery в комплекте, используемая администратором Django, была исправлена, чтобы позволить библиотеке select2 использовать jQuery.extend().