Примечания к выпуску Django 3.1.8¶
6 апреля 2021 года
Django 3.1.8 исправляет проблему безопасности со степенью серьезности «низкая» и ошибку в версии 3.1.7.
CVE-2021-28658: Потенциальный обход каталога через загруженные файлы¶
MultiPartParser
позволял осуществлять обход каталога через загруженные файлы с соответствующим образом составленными именами файлов.
Встроенные обработчики загрузки не были затронуты этой уязвимостью.
Исправления¶
- Исправлена ошибка в Django 3.1, при которой вывод скрывался при ошибке или неудаче теста при использовании
test --pdb
с опцией--buffer
(#32560).