Примечания к выпуску Django 1.7.11

Ноябрь 24, 2015

Django 1.7.11 исправляет проблему безопасности и ошибку потери данных в 1.7.10.

Исправлена возможность утечки настроек в фильтре шаблона date

Если приложение позволяет пользователям указывать непроверенный формат даты и передает этот формат фильтру date, например, {{ last_updated|date:user_date_format }}, то злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например, "SECRET_KEY" вместо "j/m/Y".

Чтобы исправить это, базовая функция, используемая фильтром шаблона date, django.utils.formats.get_format(), теперь позволяет получить доступ только к настройкам форматирования даты/времени.

Исправления

  • Исправлена возможность потери данных при Prefetch, если to_attr установлен на ManyToManyField (#25693).
Вернуться на верх