Примечания к выпуску Django 3.1.8¶
April 6, 2021
Django 3.1.8 fixes a security issue with severity «low» and a bug in 3.1.7.
CVE-2021-28658: Потенциальный обход каталога через загруженные файлы¶
MultiPartParser
позволял осуществлять обход каталога через загруженные файлы с соответствующим образом составленными именами файлов.
Встроенные обработчики загрузки не были затронуты этой уязвимостью.
Исправления¶
- Исправлена ошибка в Django 3.1, при которой вывод скрывался при ошибке или неудаче теста при использовании
test --pdb
с опцией--buffer
(#32560).