Примечания к выпуску Django 3.1.10

6 мая 2021

Django 3.1.10 исправляет проблему безопасности в версии 3.1.9.

CVE-2021-32052: Возможность инъекции заголовка, поскольку URLValidator принимал новые строки во вводе на Python 3.9.5+

В Python 3.9.5+, URLValidator не запрещал новые строки и табуляцию. Если вы использовали значения с новыми строками в HTTP-ответе, вы могли пострадать от атак инъекции заголовков. Сам Django не был уязвим, поскольку HttpResponse запрещает новые строки в HTTP-заголовках.

Более того, поле формы URLField, которое использует URLValidator, молча удаляет новые строки и табуляцию на Python 3.9.5+, поэтому возможность попадания новых строк в ваши данные существует только в том случае, если вы используете этот валидатор вне полей формы.

Эта проблема была введена исправлением bpo-43882.

Вернуться на верх