Django 1.4.7 release notes

2013年9月10日

Django 1.4.7修复了1.4系列中以前的Django版本中存在的一个安全问题。

Directory traversal vulnerability in ssi template tag

在以前的Django版本中,通过指定以允许的根为起点的相对路径,可以绕过用于ssi模板标记的安全性的ALLOWED_INCLUDE_ROOTS设置。例如,如果ALLOWED_INCLUDE_ROOTS = (“/ var / www”,)

{% ssi "/var/www/../../etc/passwd" %}

在实践中,这不是一个很常见的问题,因为它需要模板作者将ssi文件放在用户控制的变量中,但原则上是可能的。