CVE-2017-7233: открытое перенаправление и возможная XSS-атака через предоставленные пользователем числовые URL-адреса перенаправления.¶

В некоторых случаях Django полагается на ввод пользователя (например, django.contrib.auth.views.login() и i18n) для перенаправления пользователя на URL-адрес «в случае успеха». Проверка безопасности для этих перенаправлений (а именно django.utils.http.is_safe_url()) считала некоторые числовые URL-адреса (например, http:999999999) «безопасными», хотя они не должны быть таковыми.

Кроме того, если разработчик полагается на is_safe_url() для обеспечения безопасных целей перенаправления и помещает такой URL-адрес в ссылку, он может пострадать от XSS-атаки.

CVE-2017-7234: Открытая уязвимость перенаправления в django.views.static.serve()¶

Вредоносно созданный URL-адрес сайта Django с использованием представления serve() может перенаправляться на любой другой домен. Представление больше не выполняет никаких перенаправлений, поскольку они не предоставляют никаких известных полезных функций.

Однако обратите внимание, что эта точка зрения всегда содержала предупреждение о том, что она не предназначена для промышленного использования и должна использоваться только в качестве помощи в целях развития.

Исправления¶

• Администратор RelatedFieldWidgetWrapper теперь использует метод value_omited_from_data() обернутого виджета (#27905).

• Исправлена ​​резервная форма модели default для SelectMultiple (#27993).