Примечания к выпуску Django 1.7.11¶
Ноябрь 24, 2015
Django 1.7.11 исправляет проблему безопасности и ошибку потери данных в 1.7.10.
Исправлена возможность утечки настроек в фильтре шаблона date
¶
Если приложение позволяет пользователям указывать непроверенный формат даты и передает этот формат фильтру date
, например, {{ last_updated|date:user_date_format }}
, то злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например, "SECRET_KEY"
вместо "j/m/Y"
.
Чтобы исправить это, базовая функция, используемая фильтром шаблона date
, django.utils.formats.get_format()
, теперь позволяет получить доступ только к настройкам форматирования даты/времени.