The web framework for perfectionists with deadlines.

Dokumentation
  • dev
  • Documentation version: 5.2

Django 1.4.7 release notes

10 september 2013

Django 1.4.7 åtgärdar ett säkerhetsproblem som fanns i tidigare Django-versioner i 1.4-serien.

Sårbarhet för katalogtraversering i ssi malltagg

I tidigare versioner av Django var det möjligt att kringgå inställningen ALLOWED_INCLUDE_ROOTS som används för säkerhet med malltaggen ssi genom att ange en relativ sökväg som börjar med en av de tillåtna rötterna. Till exempel, om ALLOWED_INCLUDE_ROOTS = ("/var/www",) skulle följande vara möjligt:

{% ssi "/var/www/../../etc/passwd" %}

I praktiken är detta inte ett särskilt vanligt problem, eftersom det skulle kräva att mallförfattaren placerar ssi-filen i en användarkontrollerad variabel, men det är möjligt i princip.

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.2): HTML | PDF | ePub
Provided by Read the Docs.