Примечания к выпуску Django 3.1.6¶
1 февраля 2021 года
Django 3.1.6 исправляет проблему безопасности со степенью серьезности «низкая» и ошибку в версии 3.1.5.
CVE-2021-3281: Потенциальный обход каталога через archive.extract()
¶
Функция django.utils.archive.extract()
, используемая startapp --template
и startproject --template
, позволяла обход каталога через архив с абсолютными путями или относительными путями с точечными сегментами.