CVE-2021-32052: Возможность внедрения заголовка, поскольку URLValidator принимает символы новой строки во входных данных на Python 3.9.5+.¶

В Python 3.9.5+ URLValidator не запрещал переводы строк и табуляцию. Если вы использовали значения с символами новой строки в ответе HTTP, вы можете пострадать от атак с внедрением заголовка. Сам Django не был уязвим, поскольку HttpResponse запрещает переводы строк в заголовках HTTP.

Более того, поле формы URLField, которое использует URLValidator, автоматически удаляет символы новой строки и табуляции в Python 3.9.5+, поэтому возможность ввода новых строк в ваши данные существовала только в том случае, если вы используете этот валидатор вне полей формы.

Эта проблема возникла благодаря исправлению bpo-43882.

Исправления¶

• После регрессии в Django 3.2.1 makemigrations не позволяет генерировать бесконечные миграции для модели с Meta.ordering, содержавшей выражения OrderBy (#32714).