Catatan terbitan Django 1.10.7¶
4 April 2017
Django 1.10.7 memperbaiki dua masalah keamanan dan beberapa kesalahan di 1.10.6.
CVE-2017-7233: Pengalihan terbuka dan kemungkinan serangan XSS melalui URL pengalihan numerik diberikan-pengguna¶
Django bergantung pada masukan pengguna dalam beberapa kasus (misalnya django.contrib.auth.views.login()
dan i18n) untuk mengalihkan pengguna ke sebuah URL "sukses". Pemeriksaan keamanan untuk pengalihan ini (namanya django.utils.http.is_safe_url()
) dianggap beberapa numerik URL (misalnya http:999999999
) "aman" padahal seharusnya tidak.
Juga, jika seorang pengembang bergantung pada is_safe_url()
untuk menyediakan sasaran pengalihan dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS.
CVE-2017-7234: Kerentanan pengalihan terbuka dalam django.views.static.serve()
¶
URL yang dibuat berbahaya pada situs Django menggunakan tampilan serve()
dapat mengalihkan ke ranah lain. Tampilan tidak lagi melakukan pengalihan apapun ketika mereka tidak memberikan apapun yang diketahui, fungsionalitas berguna.
Catat, bagaimanapun bahwa tampilan ini selalu membawa peringatan yang itu tidak mengeras untuk penggunaan produksi dan harus digunakan hanya sebagai bantuan pengembangan.