Примечания к выпуску Django 1.4.7 ¶
10 сентября 2013 г.
Django 1.4.7 устраняет одну проблему безопасности, присутствовавшую в предыдущих выпусках Django серии 1.4.
Уязвимость обхода каталогов в ssi
теге шаблона ¶
В предыдущих версиях Django можно было обойти
ALLOWED_INCLUDE_ROOTS
настройку, используемую для безопасности, с помощью ssi
тега шаблона, указав относительный путь, который начинается с одного из разрешенных корней. Например, если возможно следующее:ALLOWED_INCLUDE_ROOTS = ("/var/www",)
{% ssi "/var/www/../../etc/passwd" %}
На практике это не очень распространенная проблема, поскольку от автора шаблона потребуется поместить ssi
файл в управляемую пользователем переменную, но в принципе это возможно.