Примечания к выпуску Django 2.0.8 ¶
1 августа 2018 г.
Django 2.0.8 исправляет проблему безопасности и несколько ошибок в 2.0.7.
CVE-2018-14574: открытая возможность перенаправления в CommonMiddleware
¶
Если CommonMiddleware
и
APPEND_SLASH
установка оба включено, и если проект имеет шаблон URL , который принимает любой путь , заканчивающийся косой черта (системы многих управлений контентом имеют такой шаблон), то запрос на вредоносную URL этого сайта может привести к перенаправление на другой сайт, позволяющее использовать фишинг и другие атаки.
CommonMiddleware
теперь избегает начальных косых черт, чтобы предотвратить перенаправление на другие домены.