Django 3.0.13 版本发行说明
CVE-2021-23336:通过
2021 年 2 月 19 日
Django 3.0.13 fixes a security issue in 3.0.12.
CVE-2021-23336:通过 django.utils.http.limited_parse_qsl()
造成网页缓存中毒
Django 包含一个 urllib.parse.parse_qsl()
的副本,该副本已添加以向后移植一些安全修复程序。最近发布了进一步的安全修复程序,使 parse_qsl()
不再被允许使用 ;
作为默认的查询参数分隔符。Django 现在包含了这个修正。更多细节请参见 bpo-42967。
讨论区