Django 2.2.24 版本发行说明

Donate 来源:Django 浏览 235 扫码分享 2021-12-08 23:44:44

Django 2.2.24 版本发行说明
- CVE-2021-33203：通过 admindocs 进行潜在的目录遍历
- CVE-2021-33571：由于验证器接受 IPv4 地址中的前导零，可能会出现不确定的 SSRF、RFI 和 LFI 攻击

Django 2.2.24 版本发行说明

2021 年 6 月 2 日

Django 2.2.24 修复了 2.2.23 中的两个安全问题。

CVE-2021-33203：通过 `admindocs` 进行潜在的目录遍历

工作人员可以使用 admindocs TemplateDetailView 视图来检查任意文件的存在。此外，如果（也只有在）默认的管理文档模板被开发者自定义为暴露文件内容，那么不仅是文件的存在，文件内容也会被暴露。

作为一种缓解措施，现在应用了路径净化，只有模板根目录下的文件可以被加载。

CVE-2021-33571：由于验证器接受 IPv4 地址中的前导零，可能会出现不确定的 SSRF、RFI 和 LFI 攻击

URLValidator、validate_ipv4_address() 和 validate_ipv46_address() 没有禁止八进制字的前导零。如果你使用这样的值，你可能遭受不确定的 SSRF、RFI 和 LFI 攻击。

validate_ipv4_address() 和 validate_ipv46_address() 验证器在 Python 3.9.5+ 上不受影响。

当前内容版权归 Django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Django .

本文档使用 BookStack 构建

展开/收起文章目录