10 september 2013
Django 1.4.7 åtgärdar ett säkerhetsproblem som fanns i tidigare Django-versioner i 1.4-serien.
ssi malltagg¶I tidigare versioner av Django var det möjligt att kringgå inställningen ALLOWED_INCLUDE_ROOTS som används för säkerhet med malltaggen ssi genom att ange en relativ sökväg som börjar med en av de tillåtna rötterna. Till exempel, om ALLOWED_INCLUDE_ROOTS = ("/var/www",) skulle följande vara möjligt:
{% ssi "/var/www/../../etc/passwd" %}
I praktiken är detta inte ett särskilt vanligt problem, eftersom det skulle kräva att mallförfattaren placerar ssi-filen i en användarkontrollerad variabel, men det är möjligt i princip.
aug. 11, 2025