Примечания к выпуску 3.2.5¶
Что нового в версии 3.2.5¶
Примечание
Этот выпуск идентичен 3.2.4, но должен был быть выпущен также как 3.2.4 из-за проблемы с упаковкой колеса Python.
Исправления ошибок¶
Исправьте настройки кэша
Исправление поиска пользователя для ограничений просмотра/разрешений страницы при использовании необработанного поля id
Исправлена регрессия, когда страница не могла быть скопирована, если CMS_PERMISSION было False
Устраняет проблему, связанную с удалением приложения с разделенными именами
Добавляет разрешение «Может изменять страницу»
Устранен ряд проблем с деревом страниц, которые при определенных условиях могли привести к повреждению данных
Устраняет уязвимости безопасности в теге шаблона render_model, которые могут привести к повышению привилегий или другим проблемам безопасности.
Устранение уязвимости безопасности в использовании cms фреймворка сообщений
Устраняет уязвимости безопасности в пользовательских FormFields, которые могли привести к эскалации привилегий или другим проблемам безопасности.
Важно
В этой версии django CMS появилась новая настройка: CMS_UNESCAPED_RENDER_MODEL_TAGS
со значением по умолчанию True. Это значение по умолчанию позволяет проводить обновления, не заставляя пользователей django CMS что-либо делать, но, пожалуйста, имейте в виду, что эта настройка продолжает допускать наличие известных уязвимостей безопасности. В связи с этим, новая настройка немедленно устаревает и будет удалена в ближайшем будущем релизе.
Чтобы немедленно повысить безопасность вашего проекта и подготовиться к будущим выпускам django CMS и связанных с ним аддонов, администратор проекта должен тщательно проверять каждое использование тегов шаблона render_model
, предоставляемых django CMS. Ему или ей рекомендуется убедиться, что все содержимое, которое выводится на страницу с помощью этого тега шаблона, очищено от любой потенциально вредной HTML-разметки, стилей CSS или JavaScript. Когда администратор или разработчик убедится, что содержимое чистое, он может добавить параметр фильтра «safe» к тегу шаблона render_model, если содержимое должно быть выведено без экранирования. Если нет необходимости выводить содержимое без эскейпа, дальнейшие действия не требуются.
После того как все теги шаблонов будут просмотрены и при необходимости скорректированы, администратор должен установить CMS_UNESCAPED_RENDER_MODEL_TAGS = False
в настройках проекта. В этот момент проект становится более безопасным и будет готов к любым будущим обновлениям.
DjangoCMS Text CKEditor¶
Необходимые действия¶
CMS 3.2.1 не совместим с djangocms-text-ckeditor < 2.8.1. Если вы используете djangocms-text-ckeditor, пожалуйста, обновите его до версии 2.8.1 или более поздней.