Django Weblog: Выпущены релизы безопасности Django: 6.0.3, 5.2.12 и 4.2.29

Команда Django выпустила новые версии 6.0.3, 5.2.12 и 4.2.29 для устранения уязвимостей безопасности. Эти выпуски исправляют критические проблемы, и пользователям настоятельно рекомендуется обновить их как можно скорее. Одна уязвимость, CVE-2026-25673, касается потенциальной уязвимости типа «отказ в обслуживании» в URLField в Windows из-за нормализации Unicode. Исправление включает в себя упрощение обнаружения схемы в URLField, удаление медленного процесса нормализации. Это изменение влияет на обработку пробелов и управляющих символов. Другая уязвимость, CVE-2026-25674, устраняет потенциально неверные разрешения для объектов файловой системы в многопоточных средах. Исправление реализует `os.chmod()` после создания каталога, устраняя зависимость от umask. Первая проблема имеет умеренную степень серьезности, а вторая — низкую. Спасибо Сеокчану Юну и Тареку Наккучу за сообщение об уязвимостях. Исправления доступны для основных веток Django, 6.0, 5.2 и 4.2. Предоставлены ссылки для скачивания обновленных выпусков, включая контрольные суммы. О проблемах безопасности следует сообщать в частном порядке по адресу security@djangoproject.com. Выпуск подписан ключом PGP Наталии Бидарт.