Примечания к выпуску Django 2.0.8¶
1 августа 2018
Django 2.0.8 исправляет проблему безопасности и несколько ошибок в 2.0.7.
CVE-2018-14574: Возможность открытого перенаправления в CommonMiddleware
¶
Если параметры CommonMiddleware
и APPEND_SLASH
включены, и если проект имеет шаблон URL, который принимает любой путь, заканчивающийся косой чертой (многие системы управления контентом имеют такой шаблон), то запрос на злонамеренно созданный URL этого сайта может привести к перенаправлению на другой сайт, что сделает возможным фишинговые и другие атаки.
CommonMiddleware
теперь экранирует ведущие слэши для предотвращения перенаправления на другие домены.