Примечания к выпуску Django 2.2.24¶
2 июня 2021 г.
В Django 2.2.24 исправлены две проблемы безопасности в версии 2.2.23.
CVE-2021-33203: Потенциальный обход каталога через admindocs.¶
Сотрудники могут использовать представление admindocs``TemplateDetailView` для проверки существования произвольных файлов. Кроме того, если (и только если) шаблоны административной документации по умолчанию были настроены разработчиками так, чтобы также раскрывать содержимое файла, то не только существование, но и содержимое файла было бы раскрыто.
В качестве меры по смягчению последствий теперь применяется очистка путей, и можно загружать только файлы в корневых каталогах шаблона.
CVE-2021-33571: Возможны неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимают ведущие нули в адресах IPv4.¶
URLValidator, validate_ipv4_address() и validate_ipv46_address() не запрещали ведущие нули в восьмеричных литералах. Если вы используете такие значения, вы можете пострадать от неопределенных атак SSRF, RFI и LFI.
Валидаторы validate_ipv4_address() и validate_ipv46_address() не были затронуты в Python 3.9.5+.