Django 3.1.7 版本发行说明

2021 年 2 月 19 日

Django 3.1.7 修复了 3.1.6 中的一个安全问题和一个漏洞。

CVE-2021-23336:通过 django.utils.http.limited_parse_qsl() 造成网页缓存中毒

Django 包含一个 urllib.parse.parse_qsl() 的副本,该副本已添加以向后移植一些安全修复程序。最近发布了进一步的安全修复程序,使 parse_qsl() 不再被允许使用 ; 作为默认的查询参数分隔符。Django 现在包含了这个修正。更多细节请参见 bpo-42967

漏洞修复

  • 修正了 Django 3.1 中的一个缺陷,当只使用 'postgres' 数据库时,会导致``RuntimeError`` 而不是连接错误(#32403)。