CVE-2021-33203: Потенциальный обход каталога через admindocs.¶

Сотрудники могут использовать представление admindocs``TemplateDetailView` для проверки существования произвольных файлов. Кроме того, если (и только если) шаблоны административной документации по умолчанию были настроены разработчиками так, чтобы также раскрывать содержимое файла, то не только существование, но и содержимое файла было бы раскрыто.

В качестве меры по смягчению последствий теперь применяется очистка путей, и можно загружать только файлы в корневых каталогах шаблона.

CVE-2021-33571: Возможны неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимают ведущие нули в адресах IPv4.¶

URLValidator, validate_ipv4_address() и validate_ipv46_address() не запрещали ведущие нули в восьмеричных литералах. Если вы используете такие значения, вы можете пострадать от неопределенных атак SSRF, RFI и LFI.

Валидаторы validate_ipv4_address() и validate_ipv46_address() не были затронуты в Python 3.9.5+.

Исправления¶

• Исправлена ​​ошибка в Django 3.2, из-за которой окончательное представление всех элементов в администраторе не учитывало предоставленное сервером значение SCRIPT_NAME при перенаправлении неаутентифицированных пользователей на страницу входа (#32754).

• Исправлена ​​ошибка в Django 3.2, из-за которой при проверке системы на абстрактной модели (#32733) происходил сбой.

• Предотвращена ненужная инициализация неиспользуемых кешей после регресса в Django 3.2 (#32747).

• Исправлен сбой в Django 3.2, который мог произойти при запуске mod_wsgi с рекомендуемыми настройками, когда была установлена ​​библиотека Windows colorama (#32740).

• Исправлена ​​ошибка в Django 3.2, из-за которой запускалась автоматическая перезагрузка изменений шаблона, если пути к каталогам были указаны строками (#32744).

• Исправлена ​​регрессия в Django 3.2, приводившая к сбою автоперезагрузки с AttributeError, например. внутри среды Conda (#32783).

• Исправлена ​​регрессия в Django 3.2, приводившая к потере точности операций с DecimalField в MySQL (#32793).