Примечания к выпуску Django 1.4.7¶
10 сентября 2013
Django 1.4.7 исправляет одну проблему безопасности, присутствовавшую в предыдущих выпусках Django серии 1.4.
Уязвимость обхода каталога в теге шаблона ssi
¶
В предыдущих версиях Django можно было обойти настройку ALLOWED_INCLUDE_ROOTS
, используемую для безопасности с тегом шаблона ssi
, указав относительный путь, начинающийся с одного из разрешенных корней. Например, если ALLOWED_INCLUDE_ROOTS = ("/var/www",)
, то можно было бы сделать следующее:
{% ssi "/var/www/../../etc/passwd" %}
На практике это не очень распространенная проблема, поскольку это потребовало бы от автора шаблона поместить файл ssi
в переменную, контролируемую пользователем, но в принципе это возможно.