Примечания к выпуску Django 1.7.6¶
Март 9, 2015
Django 1.7.6 исправляет проблему безопасности и несколько ошибок в 1.7.5.
Устранена XSS-атака через свойства в ModelAdmin.readonly_fields
¶
Атрибут ModelAdmin.readonly_fields
в админке Django позволяет отображать поля модели и атрибуты модели. В то время как первые были корректно экранированы, вторые - нет. Таким образом, ненадежное содержимое могло быть внедрено в админку, представляя собой вектор эксплуатации для XSS-атак.
При этой уязвимости каждый атрибут модели, используемый в readonly_fields
, который не является фактическим полем модели (например, property
), не будет экранирован, даже если этот атрибут не помечен как безопасный. В этом выпуске автоэскейп теперь применяется правильно.