Примечания к выпуску Django 3.2.15¶
3 августа 2022 года
Django 3.2.15 исправляет проблему безопасности со степенью серьезности «высокая» в версии 3.2.14.
CVE-2022-36359: Потенциальная уязвимость отраженной загрузки файлов в FileResponse
¶
Приложение могло быть уязвимо к атаке отраженной загрузки файла (RFD), которая устанавливает заголовок Content-Disposition в FileResponse
, когда filename
был получен из пользовательского ввода. Теперь filename
экранируется, чтобы избежать этой возможности.