Примечания к выпуску Django 1.11.15

*1 августа 2018 г.

Django 1.11.15 исправляет проблему безопасности в версии 1.11.14.

CVE-2018-14574: Возможность открытого перенаправления в CommonMiddleware

Если параметры CommonMiddleware и APPEND_SLASH включены, и если проект имеет шаблон URL, который принимает любой путь, заканчивающийся косой чертой (многие системы управления контентом имеют такой шаблон), то запрос на злонамеренно созданный URL этого сайта может привести к перенаправлению на другой сайт, что сделает возможным фишинговые и другие атаки.

CommonMiddleware теперь экранирует ведущие слэши для предотвращения перенаправления на другие домены.

Вернуться на верх