Примечания к выпуску Django 1.11.15¶
1 августа 2018
Django 1.11.15 исправляет проблему безопасности в версии 1.11.14.
CVE-2018-14574: Возможность открытого перенаправления в CommonMiddleware¶
Если параметры CommonMiddleware и APPEND_SLASH включены, и если проект имеет шаблон URL, который принимает любой путь, заканчивающийся косой чертой (многие системы управления контентом имеют такой шаблон), то запрос на злонамеренно созданный URL этого сайта может привести к перенаправлению на другой сайт, что сделает возможным фишинговые и другие атаки.
CommonMiddleware теперь экранирует ведущие слэши для предотвращения перенаправления на другие домены.