Django 1.10.7 release notes¶

CVE-2017-7233: Öppen omdirigering och möjlig XSS-attack via användartillhandahållna numeriska omdirigeringsadresser¶

Django förlitar sig på användarinmatning i vissa fall (t.ex. django.contrib.auth.views.login() och i18n) för att omdirigera användaren till en ”on success” URL. Säkerhetskontrollen för dessa omdirigeringar (nämligen django.utils.http.is_safe_url()) ansåg att vissa numeriska webbadresser (t.ex. http:999999999) var ”säkra” när de inte borde vara det.

Om en utvecklare förlitar sig på is_safe_url() för att tillhandahålla säkra omdirigeringsmål och lägger in en sådan URL i en länk, kan de också drabbas av en XSS-attack.

CVE-2017-7234: Sårbarhet för öppen omdirigering i django.views.static.serve()¶

En skadligt utformad URL till en Django-webbplats som använder vyn serve() kan omdirigera till vilken annan domän som helst. Vyn gör inte längre några omdirigeringar eftersom de inte ger någon känd, användbar funktionalitet.

Observera dock att denna vy alltid har försetts med en varning om att den inte är härdad för produktionsanvändning och endast bör användas som ett utvecklingshjälpmedel.

Buggrättningar¶

• Gjorde så att admins RelatedFieldWidgetWrapper använder den omslutna widgetens value_omitted_from_data()-metod (#27905).

• Fixed model form default fallback for SelectMultiple (#27993).