Примечания к выпуску Django 1.11.15 ¶
1 августа 2018 г.
Django 1.11.15 устраняет проблему безопасности в 1.11.14.
CVE-2018-14574: открытая возможность перенаправления в CommonMiddleware
¶
Если CommonMiddleware
и
APPEND_SLASH
установка оба включено, и если проект имеет шаблон URL , который принимает любой путь , заканчивающийся косой черта (системы многих управлений контентом имеют такой шаблон), то запрос на вредоносную URL этого сайта может привести к перенаправление на другой сайт, позволяющее использовать фишинг и другие атаки.
CommonMiddleware
теперь избегает начальных косых черт, чтобы предотвратить перенаправление на другие домены.