Django Weblog：发布 Django 安全更新：6.0.5 和 5.2.14

Django 团队已发布 Django 6.0.5 和 5.2.14，以修复关键安全漏洞。这些版本修复了三个安全问题，建议用户尽快进行修复。第一个漏洞 CVE-2026-5766 可能通过绕过 ASGI 请求中的文件上传大小限制导致拒绝服务攻击。当 `Content-Length` 标头缺失或不正确时，此问题会发生，可能导致大文件消耗过多内存。第二个漏洞 CVE-2026-35192 涉及在启用 `SESSION_SAVE_EVERY_REQUEST` 时通过缓存页面进行会话固定，存在会话被盗的风险。第三个安全问题 CVE-2026-6907 揭示了由于 `UpdateCacheMiddleware` 中错误处理 `Vary: *` 标头而可能导致的数据泄露。这些问题的补丁已在 main、6.0 和 5.2 分支中实现。根据 Django 的安全策略，这些问题被归类为“低”严重性。建议升级 6.0 和 5.2 版本。该发布包含指向补丁的具体链接，以及新版本的 tarball 和校验和。安全问题的报告应始终通过电子邮件私下发送至 `security@djangoproject.com`。