Django 1.4.7 版本发行说明¶
2013 年 9 月 10 日
Django 1.4.7 修复了 1.4 系列中之前 Django 版本存在的一个安全问题。
ssi
模板标签中的目录遍历漏洞¶
在以前的 Django 版本中,可以通过指定以允许的根目录之一开头的相对路径来绕过 ssi
模板标签用于安全性的 ALLOWED_INCLUDE_ROOTS
设置。例如,如果 ALLOWED_INCLUDE_ROOTS = ("/var/www",)
,那么以下情况是可能的:
{% ssi "/var/www/../../etc/passwd" %}
实际上,这并不是一个非常常见的问题,因为它需要模板作者将 ssi
文件放入用户可控制的变量中,但从原理上讲是可能的。