Django 1.7.6 release notes

9 mars 2015

Django 1.7.6 åtgärdar ett säkerhetsproblem och flera buggar i 1.7.5.

Åtgärdade en XSS-attack via egenskaper i ModelAdmin.readonly_fields

Attributet ModelAdmin.readonly_fields i Django-admin gör det möjligt att visa modellfält och modellattribut. Medan de förra var korrekt escapade, var de senare inte det. På så sätt kunde otillförlitligt innehåll injiceras i administratören och utgöra en exploateringsvektor för XSS-attacker.

I den här sårbarheten kommer varje modellattribut som används i readonly_fields och som inte är ett faktiskt modellfält (t.ex. en property) inte att escapas även om attributet inte är markerat som säkert. I den här utgåvan tillämpas nu automatisk escaping korrekt.

Buggrättningar

  • Korrigerad krasch vid tvingande av ManyRelatedManager till en sträng (#24352).

  • Åtgärdat ett fel som hindrade migreringar från att lägga till en främmande nyckelbegränsning när ett befintligt fält konverterades till en främmande nyckel (#24447).