Примечания к выпуску Django 1.4.7¶
10 сентября 2013
Django 1.4.7 исправляет одну проблему безопасности, присутствовавшую в предыдущих выпусках Django серии 1.4.
Уязвимость обхода каталога в теге шаблона ssi¶
В предыдущих версиях Django можно было обойти настройку ALLOWED_INCLUDE_ROOTS, используемую для безопасности с тегом шаблона ssi, указав относительный путь, начинающийся с одного из разрешенных корней. Например, если ALLOWED_INCLUDE_ROOTS = ("/var/www",), то можно было бы сделать следующее:
{% ssi "/var/www/../../etc/passwd" %}
На практике это не очень распространенная проблема, так как это потребует от автора шаблона поместить файл ssi в переменную, контролируемую пользователем, но в принципе это возможно.