9 mars 2015
Django 1.7.6 åtgärdar ett säkerhetsproblem och flera buggar i 1.7.5.
ModelAdmin.readonly_fields¶Attributet ModelAdmin.readonly_fields i Django-admin gör det möjligt att visa modellfält och modellattribut. Medan de förra var korrekt escapade, var de senare inte det. På så sätt kunde otillförlitligt innehåll injiceras i administratören och utgöra en exploateringsvektor för XSS-attacker.
I den här sårbarheten kommer varje modellattribut som används i readonly_fields och som inte är ett faktiskt modellfält (t.ex. en property) inte att escapas även om attributet inte är markerat som säkert. I den här utgåvan tillämpas nu automatisk escaping korrekt.
aug. 11, 2025