Релиз Django 1.4.7

10 сентября 2013

Django 1.4.7 исправляет ошибку безопасности в предыдущих релизах ветки 1.4.

Уязвимость обхода каталога в теге ssi

В предыдущих версиях Django было возможно передать настройку ALLOWED_INCLUDE_ROOTS в тег ssi для указания доступных путей. Например, если ALLOWED_INCLUDE_ROOTS = ("/var/www",), то возможно следующее:

{% ssi "/var/www/../../etc/passwd" %}

На практике это не очень распространенная проблема, так как это потребует от автора шаблона поместить файл ssi в переменную под управлением пользователя, что в принципе возможно.

« previous | up | next »