Примечания к выпуску Django 1.10.8¶
5 сентября 2017
Django 1.10.8 исправляет проблему безопасности в версии 1.10.7.
CVE-2017-12794: Возможный XSS в разделе трассировки отладочной страницы Technical 500¶
В старых версиях автозавершение HTML было отключено в части шаблона для отладочной страницы Technical 500. При удачном стечении обстоятельств это позволяло провести межсайтовую скриптинг-атаку. Эта уязвимость не должна повлиять на большинство производственных сайтов, поскольку вы не должны использовать DEBUG = True
(что делает эту страницу доступной) в производственных настройках.