Django 1.7.11 release notes

24 november 2015

Django 1.7.11 åtgärdar ett säkerhetsproblem och en dataförlustbugg i 1.7.10.

Fixad möjlighet till läckage av inställningar i date mallfilter

Om ett program tillåter användare att ange ett ogiltigt format för datum och skickar detta format till filtret date, t.ex. {{ last_updated|date:user_date_format }}, kan en illvillig användare komma åt alla hemligheter i programmets inställningar genom att ange en inställningsnyckel i stället för ett datumformat. t.ex. "SECRET_KEY" i stället för "j/m/Y".

För att åtgärda detta tillåter den underliggande funktionen som används av mallfiltret date, django.utils.formats.get_format(), nu endast åtkomst till formateringsinställningarna för datum/tid.

Buggrättningar

  • Åtgärdat en möjlighet till dataförlust med Prefetch om to_attr är inställd på en ManyToManyField (#25693).