Примечания к выпуску Django 3.1.9

4 мая 2021

Django 3.1.9 исправляет проблему безопасности в версии 3.1.8.

CVE-2021-31542: Потенциальный обход каталога через загруженные файлы

MultiPartParser, UploadedFile и FieldFile допускали обход каталога через загруженные файлы с соответствующим образом составленными именами файлов.

Для снижения этого риска в настоящее время применяется более строгая санация базовых имен и путей.

Вернуться на верх