2021 年 6 月 2 日
Django 3.1.12 修复了 3.1.11 中的两个安全问题。
admindocs
进行潜在的目录遍历¶工作人员可以使用 admindocs
TemplateDetailView
视图来检查任意文件的存在。此外,如果(也只有在)默认的管理文档模板被开发者自定义为暴露文件内容,那么不仅是文件的存在,文件内容也会被暴露。
作为一种缓解措施,现在应用了路径净化,只有模板根目录下的文件可以被加载。
URLValidator
、validate_ipv4_address()
和 validate_ipv46_address()
没有禁止八进制字的前导零。如果你使用这样的值,你可能遭受不确定的 SSRF、RFI 和 LFI 攻击。
validate_ipv4_address()
和 validate_ipv46_address()
验证器在 Python 3.9.5+ 上不受影响。
5月 12, 2023