Примечания к выпуску Django 1.8.18

4 апреля 2017 г.

Django 1.8.18 исправляет две проблемы безопасности в 1.8.17.

CVE-2017-7233: открытое перенаправление и возможная XSS-атака через предоставленные пользователем числовые URL-адреса перенаправления

В некоторых случаях Django полагается на ввод данных пользователем (например, django.contrib.auth.views.login() и i18n ) для перенаправления пользователя на URL-адрес «при успехе». Проверка безопасности для этих перенаправлений (а именно django.utils.http.is_safe_url() ) посчитала некоторые числовые URL-адреса (например http:999999999 ) "безопасными", хотя они не должны быть такими.

Кроме того, если разработчик полагается на is_safe_url() обеспечение безопасных целей перенаправления и помещает такой URL-адрес в ссылку, он может пострадать от XSS-атаки.

CVE-2017-7234: уязвимость открытого перенаправления в django.views.static.serve()

Вредоносно созданный URL-адрес сайта Django с использованием serve() представления может перенаправить на любой другой домен. Представление больше не выполняет никаких перенаправлений, поскольку они не предоставляют каких-либо известных полезных функций.

Обратите внимание, однако, что это представление всегда содержало предупреждение о том, что оно не усилено для производственного использования и должно использоваться только как средство разработки.

Copyright ©2020 All rights reserved