Примечания к выпуску Django 1.4.7 ¶

Уязвимость обхода каталогов в ssi теге шаблона ¶

В предыдущих версиях Django можно было обойти ALLOWED_INCLUDE_ROOTS настройку, используемую для безопасности, с помощью ssi тега шаблона, указав относительный путь, который начинается с одного из разрешенных корней. Например, если возможно следующее:ALLOWED_INCLUDE_ROOTS = ("/var/www",)

{% ssi "/var/www/../../etc/passwd" %}

На практике это не очень распространенная проблема, поскольку от автора шаблона потребуется поместить ssi файл в управляемую пользователем переменную, но в принципе это возможно.