Catatan terbitan Django 1.7.6

9 Maret 2015

Django 1.7.6 memperbaiki beberapa kesalahan dan masalah keamanan di 1.7.5.

Mengurangi sebuah serangan XSS melalui sifat di ModelAdmin.readonly_fields

Atribut ModelAdmin.readonly_fields di admin Django mengizinkan menampilkan bidang model dan atribut model. Selagi pendahulunya telah degan benar diloloskan, yang terakhir tidak. Dengan demikian isi yang tidak dapat dipercaya dapat disuntikkan kedalam admin, menghadirkan sebuah vektor eksploitasi untuk serangan XSS.

Dalam kerentanan ini, setiap atribut model digunakan di readonly_fields yang bukan bidang model yang sebenarnya (sebagai contoh sebuah property) akan gagal diloloskan bahkan jika atribut itu tidak ditandai sebagai aman. Di terbitan ini, pelolosan otomatis sekarang dengan benar diberlakukan.

Perbaikan kesalahan

  • Diperbaiki kegagalan ketika memaksa ManyRelatedManager menjadi string (#24352).
  • Diperbaiki sebuah kesalahan yang mencegah perpindahan dari menambahkan batasan primary key ketika merubah bidang yang ada pada sebuah foreign key (#24447).
Back to Top