Django 2.2.24发行说明

June 2, 2021

Django 2.2.24修复了2.2.23中的两个安全问题。

CVE-2021-33203:潜在的目录遍历通过 admindocs

工作人员可以使用 admindocs TemplateDetailView 查看以检查是否存在任意文件。此外,如果(并且仅当)开发人员已经定制了默认的admindocs模板以公开文件内容,那么不仅存在而且文件内容也会被暴露。

作为缓解措施,现在应用了路径清理,并且只能加载模板根目录中的文件。

CVE-2021-33571:由于验证器接受IPV4地址中的前导零,因此可能存在不确定的SSRF、RFI和LFI攻击

URLValidatorvalidate_ipv4_address() ,以及 validate_ipv46_address() 不禁止八进制文字中的前导零。如果您使用这样的值,您可能会遭受不确定的SSRF、RFI和LFI攻击。

validate_ipv4_address()validate_ipv46_address() 在Python3.9.5+上,验证器不受影响。

« previous | up | next »