Примечания к выпуску Django 1.11.21

3 июня 2019

Django 1.11.21 исправляет проблему безопасности в версии 1.11.20.

CVE-2019-12308: AdminURLFieldWidget XSS

Кликабельная ссылка «Current URL», созданная командой AdminURLFieldWidget, отображала предоставленное значение без проверки его как безопасного URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, могло привести к появлению кликабельной ссылки JavaScript.

AdminURLFieldWidget теперь проверяет предоставленное значение с помощью URLValidator перед отображением кликабельной ссылки. Вы можете настроить валидатор, передав validator_class kwarg в AdminURLFieldWidget.__init__(), например, при использовании formfield_overrides.

Вернуться на верх