Catatan terbitan Django 1.9.13¶
4 April 2017
Django 1.9.13 memperbaiki dua masalah keamanan dan sebuah kesalahan dalam 1.9.12. Ini adalah terbitan akhir dari rangkaian 1.9.x.
CVE-2017-7233: Pengalihan terbuka dan kemungkinan serangan XSS melalui URL pengalihan numerik diberikan-pengguna¶
Django bergantung pada masukan pengguna dalam beberapa kasus (sebagai contoh django.contrib.auth.views.login()
dan i18n) untuk mengalihkan pengguna ke sebuah URL "on success". Pemeriksaan keamanan untuk pengalihan ini (bernama django.utils.http.is_safe_url()
) dianggap beberapa URL numerik (sebagai contoh http:999999999
) "safe" ketika mereka tidak seharusnya.
Juga, jika seorang pengembang bergantung pada is_safe_url()
untuk menyediakan sasaran pengalihan dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS.
CVE-2017-7234: Kerentanan pengalihan terbuka dalam django.views.static.serve()
¶
URL yang dibuat berbahaya pada situs Django menggunakan tampilan serve()
dapat mengalihkan ke ranah lain. Tampilan tidak lagi melakukan pengalihan apapun ketika mereka tidak memberikan apapun yang diketahui, fungsionalitas berguna.
Catat, bagaimanapun bahwa tampilan ini selalu membawa peringatan yang itu tidak mengeras untuk penggunaan produksi dan harus digunakan hanya sebagai bantuan pengembangan.