Django Weblog: Django Sicherheitsveröffentlichungen: 5.2.2, 5.1.10 und 4.2.22

Das Django-Team veröffentlicht Django 5.2.2, 5.1.10 und 4.2.22, um Sicherheitsprobleme zu beheben. Die Veröffentlichungen beheben eine potenzielle Log-Injection-Schwachstelle durch einen nicht maskierten Request-Pfad, die eine Log-Manipulation oder -Fälschung ermöglichen könnte. Dieses Problem hat gemäß der Sicherheitsrichtlinie von Django eine moderate Schwere. Das Problem ergibt sich aus der internen HTTP-Response-Protokollierung, die `request.path` direkt verwendet, wodurch unmaskierte Steuerzeichen geschrieben werden können. Die Behebung beinhaltet die Maskierung aller positionsbasierten Formatierungsargumente mithilfe einer sicheren Kodierung. Die Patches wurden auf die Django-Branches main, 5.2, 5.1 und 4.2 angewendet. Die Veröffentlichungen können über die bereitgestellten Links heruntergeladen werden. Die für diese Veröffentlichung verwendete PGP-Schlüssel-ID ist Natalia Bidart: 2EE82A8D9470983E. Benutzer werden dringend gebeten, so bald wie möglich ein Upgrade durchzuführen. Potenzielle Sicherheitsprobleme sollten per privater E-Mail an security@djangoproject.com gemeldet werden.