Catatan terbitan Django 1.10.7

4 April 2017

Django 1.10.7 memperbaiki dua masalah keamanan dan beberapa kesalahan di 1.10.6.

CVE-2017-7233: Pengalihan terbuka dan kemungkinan serangan XSS melalui URL pengalihan numerik diberikan-pengguna

Django bergantung pada masukan pengguna dalam beberapa kasus (sebagai contoh django.contrib.auth.views.login() dan i18n) untuk mengalihkan pengguna ke sebuah URL "on success". Pemeriksaan keamanan untuk pengalihan ini (bernama django.utils.http.is_safe_url()) dianggap beberapa URL numerik (sebagai contoh http:999999999) "safe" ketika mereka tidak seharusnya.

Juga, jika seorang pengembang bergantung pada is_safe_url() untuk menyediakan sasaran pengalihan dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS.

CVE-2017-7234: Kerentanan pengalihan terbuka dalam django.views.static.serve()

URL yang dibuat berbahaya pada situs Django menggunakan tampilan serve() dapat mengalihkan ke ranah lain. Tampilan tidak lagi melakukan pengalihan apapun ketika mereka tidak memberikan apapun yang diketahui, fungsionalitas berguna.

Catat, bagaimanapun bahwa tampilan ini selalu membawa peringatan yang itu tidak mengeras untuk penggunaan produksi dan harus digunakan hanya sebagai bantuan pengembangan.

Perbaikan kesalahan

  • Dibuat RelatedFieldWidgetWrapper admin menggunakan dibungkus metode value_omitted_from_data() widget (#27905).
  • Diperbaiki fallback default formulir model untuk SelectMultiple (#27993).
Back to Top