CVE-2020-13254: потенциальная утечка данных из-за неправильно сформированных ключей memcached.¶

В тех случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, в серверные части кэша memcached добавлена ​​проверка ключей.

CVE-2020-13596: возможен XSS через администратора «ForeignKeyRawIdWidget».¶

Параметры запроса администратора «ForeignKeyRawIdWidget» не были должным образом закодированы в URL-адресе, что представляло собой вектор атаки XSS. ForeignKeyRawIdWidget теперь гарантирует правильное URL-кодирование параметров запроса.

Исправления¶

• Исправлена ​​регрессия в Django 3.0 путем восстановления возможности использования поиска по полям в Meta.ordering (#31538).

• Исправлена ​​регрессия в Django 3.0, при которой QuerySet.values() и values_list() аварийно завершали работу, если набор запросов содержал агрегацию и аннотацию подзапроса (#31566).

• Исправлена ​​регрессия в Django 3.0, когда агрегаты использовали неправильные аннотации, когда набор запросов имеет несколько аннотаций подзапросов (#31568).

• Исправлена ​​регрессия в Django 3.0, при которой QuerySet.values() и values_list() аварийно завершали работу, если набор запросов содержал агрегирование и аннотацию Exists() в Oracle (#31584).

• Исправлена ​​регрессия в Django 3.0, где все разрешенные выражения Subquery() считались равными (#31607).

• Исправлена ​​регрессия в Django 3.0.5, которая влияла на загрузку перевода для приложений, предоставляющих переводы для вариантов территориального языка, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка (#31570).

• Отслеживая выпуск безопасности jQuery, версия jQuery, используемая администратором, была обновлена ​​с 3.4.1 до 3.5.1.