Примечания к выпуску Django 3.0.12

1 февраля 2021 года

Django 3.0.12 исправляет проблему безопасности со степенью серьезности «низкая» в версии 3.0.11.

CVE-2021-3281: Потенциальный обход каталога через archive.extract()

Функция django.utils.archive.extract(), используемая startapp --template и startproject --template, позволяла обход каталога через архив с абсолютными путями или относительными путями с точечными сегментами.

Вернуться на верх