September 10, 2013
Django 1.4.7 memperbaiki dua masalah keamanan yang hadir di terbitan Django sebelumnya di rangkaian 1.4.
ssi¶Dalam versi sebelumnya Django itu telah memungkinkan melewatkan pengaturan ALLOWED_INCLUDE_ROOTS digunakan untuk keamanan dengan etiket cetakan ssi dengan menentukan jalur relatif yang dimulai dengan satu dari akar yang diizinkan. Sebagai contoh, jika ALLOWED_INCLUDE_ROOTS = ("/var/www",) berikutnya akan mungkin:
{% ssi "/var/www/../../etc/passwd" %}
Dalam praktiknya ini bukan sangat masalah umum, ketika itu akan membutuhkan cetakan penulis untuk menaruh berkas ssi di variabel terkendali-pengguna, tetapi itu memungkinkan pada dasarnya.
Mar 30, 2019