CVE-2018-14574: Открыта возможность перенаправления в CommonMiddleware.¶

Если параметр CommonMiddleware и параметр APPEND_SLASH включены, и если в проекте есть шаблон URL-адреса, который принимает любой путь, заканчивающийся косой чертой (во многих системах управления контентом есть такой шаблон), то запрос на злонамеренно созданный URL-адрес этого сайта может привести к перенаправлению на другой сайт, что делает возможным фишинг и другие атаки.

CommonMiddleware теперь экранирует начальные косые черты, чтобы предотвратить перенаправление на другие домены.

Исправления¶

• Исправлена ​​регрессия в Django 2.0.7, которая нарушала поиск по regex в MariaDB (хотя MariaDB официально не поддерживается) (#29544).

• Исправлена ​​регрессия, при которой django.template.Template завершал работу, если аргумент template_string был ленивым (#29617).