В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.1.6 , Django 3.0.12 и Django 2.2.18 . В этих выпусках устранена проблема безопасности с уровнем серьезности "низкий", описанным ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
Функция django.utils.archive.extract() , используемая startapp --template и startproject --template , разрешает обход каталога через архив с абсолютными путями или относительными путями с точечными сегментами.
Спасибо Вану Баохуа за отчет.
Исправления для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
Выпущены следующие релизы:
В этом выпуске используется идентификатор ключа PGP: Mariusz Felisiak: 2EF56372BA48CD1B .
Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.