Примечания к выпуску Django 4.0.7

3 августа 2022 года

Django 4.0.7 исправляет проблему безопасности со степенью серьезности «высокая» в 4.0.6.

CVE-2022-36359: Потенциальная уязвимость отраженной загрузки файлов в FileResponse

Приложение могло быть уязвимо к атаке отраженной загрузки файла (RFD), которая устанавливает заголовок Content-Disposition в FileResponse, когда filename был получен из пользовательского ввода. Теперь filename экранируется, чтобы избежать этой возможности.

Вернуться на верх