Catatan terbitan Django 1.10.8

5 September 2017

Django 1.10.8 memperbaiki masalah keamanan di 1..10.7.

CVE-2017-12794: Kemungkinan XSS dalam melacak kembali bagian dari halaman teknis mencari kesalahan 500

Dalam versi terlama, pelolosan otomatis HTML ditiadakan dalam bagian dari cetakan untuk halaman teknis mencari kesalahan 500. Memberikan keadaan benar, ini mengizinkan serangan cross-site scripting. Kerentanan ini tidak harus mempengaruhi kebanyakan situs-situs produksi sejak anda tidak harus menjalankan dengan DEBUG = True (yang membuat halaman ini dapat diakses) dalam pengaturan produksi anda.

Back to Top