2024年8月6日
Django 4.2.15では、4.2.14における3件の深刻度 "moderate" のセキュリティ問題、1件の深刻度 "high" のセキュリティ問題、および1件のリグレッションが修正されています。
django.utils.numberformat.floatformat() における過剰なメモリ消費¶floatformat が指数部が大きい科学的表記の数値文字列を受け取った場合、著しいメモリ消費が発生する可能性があります。
これを避けるために、200桁を超える decimal はそのまま返されるようになりました。
django.utils.html.urlize() における潜在的なサービス拒否(DoS)の脆弱性¶urlize および urlizetrunc フィルタには、特定の文字列シーケンスを含む非常に大きな入力を介したサービス拒否(DoS)攻撃の可能性がありました。
django.utils.html.urlize() および AdminURLFieldWidget における潜在的なサービス拒否(DoS)の脆弱性¶urlize、urlizetrunc、および AdminURLFieldWidget は、非常に多くのUnicode文字を含む特定の入力を介したサービス拒否(DoS)攻撃の可能性がありました。
QuerySet.values() および values_list() におけるSQLインジェクションの可能性¶モデルの JSONField を持つ QuerySet.values() メソッドおよび values_list() メソッドは、細工されたJSONオブジェクトのキーが *arg として渡されることで、列エイリアスでSQLインジェクションの影響を受ける可能性がありました。
Django 4.2.14 で発生した、500文字を超える言語コードを処理する際に LocaleMiddleware がクラッシュするリグレッションが修正されました (#35627)。
7月 02, 2025