Примечания к выпуску Django 3.1.12

2 июня 2021 года

Django 3.1.12 исправляет две проблемы безопасности в версии 3.1.11.

CVE-2021-33203: потенциальный обход каталога через admindocs

Сотрудники могли использовать представление admindocs TemplateDetailView для проверки существования произвольных файлов. Кроме того, если (и только если) стандартные шаблоны admindocs были настроены разработчиками так, чтобы раскрывать содержимое файлов, то раскрывалось не только существование, но и содержимое файлов.

В качестве смягчения теперь применяется санация путей, и загружаются только файлы в корневых каталогах шаблонов.

CVE-2021-33571: Возможные неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимали ведущие нули в адресах IPv4

URLValidator, validate_ipv4_address() и validate_ipv46_address() не запрещали ведущие нули в восьмеричных литералах. Если вы использовали такие значения, вы могли пострадать от неопределенных атак SSRF, RFI и LFI.

Валидаторы validate_ipv4_address() и validate_ipv46_address() не были затронуты на Python 3.9.5+.

Вернуться на верх