Примечания к выпуску Django 1.7.6

Март 9, 2015

Django 1.7.6 исправляет проблему безопасности и несколько ошибок в 1.7.5.

Устранена XSS-атака через свойства в ModelAdmin.readonly_fields.

Атрибут ModelAdmin.readonly_fields в админке Django позволяет отображать поля модели и атрибуты модели. В то время как первые были корректно экранированы, вторые - нет. Таким образом, ненадежное содержимое могло быть внедрено в админку, представляя собой вектор эксплуатации для XSS-атак.

В этой уязвимости каждый атрибут модели, используемый в readonly_fields, который не является фактическим полем модели (например, property), не будет экранирован, даже если этот атрибут не помечен как безопасный. В этом выпуске автоэскейп теперь применяется корректно.

Исправления

  • Исправлен сбой при принудительном преобразовании ManyRelatedManager в строку (#24352).
  • Исправлена ошибка, из-за которой миграции не могли добавить ограничение внешнего ключа при преобразовании существующего поля в внешний ключ (#24447).
Вернуться на верх