CVE-2024-27351: потенциальный отказ в обслуживании с использованием регулярных выражений в django.utils.text.Truncator.words()¶

Метод django.utils.text.Truncator.words() (с html=True) и шаблонный фильтр truncatewords_html подвергались потенциальной атаке типа «отказ в обслуживании» с использованием регулярных выражений с использованием специально созданной строки (см. CVE 2019-14232 и CVE 2023-43665).

Исправления¶

• Исправлена ​​регрессия в Django 5.0.2, где фильтр шаблона intcomma мог возвращать ведущую запятую для строкового представления чисел с плавающей запятой (#35172).

• Исправлена ​​ошибка в Django 5.0, приводившая к сбою Signal.asend() и asend_robust(), когда все получатели были асинхронными функциями (#35174).

• Исправлена ​​регрессия в Django 5.0.1, где ModelAdmin.lookup_allowed() предотвращал фильтрацию по внешним ключам с использованием поиска типа __isnull, когда поле не было включено в ModelAdmin.list_filter (#35173).

• Исправлена ​​регрессия в Django 5.0, приводившая к сбою декораторов @sensitivity_variables и @sensitivity_post_parameters в функциях, загруженных из файлов .pyc (:ticket:35187).

• Исправлена ​​регрессия в Django 5.0, приводившая к сбою при перезагрузке тестовой базы данных и базового набора запросов для базового менеджера, использовавшего prefetch_related() (#35238).

• Исправлена ​​ошибка в Django 5.0, из-за которой фасетные фильтры в администраторе аварийно завершали работу с SimpleListFilter при использовании набора запросов без первичных ключей (#35198).