Kerentanan lintasan direktori dalam etiket cetakan ssi¶

Dalam versi sebelumnya Django itu telah memungkinkan melewatkan pengaturan ALLOWED_INCLUDE_ROOTS digunakan untuk keamanan dengan etiket cetakan ssi dengan menentukan jalur relatif yang dimulai dengan satu dari akar yang diizinkan. Sebagai contoh, jika ALLOWED_INCLUDE_ROOTS = ("/var/www",) berikutnya akan mungkin:

{% ssi "/var/www/../../etc/passwd" %}

Dalam praktiknya ini bukan sangat masalah umum, ketika itu akan membutuhkan cetakan penulis untuk menaruh berkas ssi di variabel terkendali-pengguna, tetapi itu memungkinkan pada dasarnya.