Примечания к выпуску Django 2.2.24¶
2 июня 2021 года
Django 2.2.24 исправляет две проблемы безопасности в версии 2.2.23.
CVE-2021-33203: Потенциальный обход каталога через admindocs
¶
Сотрудники могли использовать представление admindocs
TemplateDetailView
для проверки существования произвольных файлов. Кроме того, если (и только если) шаблоны admindocs по умолчанию были настроены разработчиками так, чтобы раскрывать содержимое файлов, то раскрывалось не только существование, но и содержимое файлов.
В качестве смягчения теперь применяется санация путей, и загружаются только файлы в корневых каталогах шаблонов.
CVE-2021-33571: Возможные неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимали ведущие нули в адресах IPv4¶
URLValidator
, validate_ipv4_address()
и validate_ipv46_address()
не запрещали ведущие нули в восьмеричных литералах. Если вы использовали такие значения, вы могли пострадать от неопределенных атак SSRF, RFI и LFI.
Валидаторы validate_ipv4_address()
и validate_ipv46_address()
не были затронуты на Python 3.9.5+.