Примечания к выпуску Django 1.10.8

5 сентября 2017

Django 1.10.8 исправляет проблему безопасности в версии 1.10.7.

CVE-2017-12794: Возможный XSS в разделе трассировки отладочной страницы Technical 500

В старых версиях автозавершение HTML было отключено в части шаблона для отладочной страницы Technical 500. При удачном стечении обстоятельств это позволяло провести межсайтовую скриптинг-атаку. Эта уязвимость не должна повлиять на большинство производственных сайтов, поскольку вы не должны использовать DEBUG = True (что делает эту страницу доступной) в производственных настройках.

Вернуться на верх