Django 3.1.6 版本发行说明

2021 年 2 月 1 日

Django 3.1.6 修复了一个严重性为 “低” 的安全问题和 3.1.5 中的一个 bug。

CVE-2021-3281:通过 archive.extract() 进行潜在的目录穿透。

startapp --templatestartproject --template 使用的 django.utils.archive.extract() 函数,允许通过带有绝对路径或带有点段的相对路径的存档进行目录遍历。

漏洞修复

  • 修正了 Django 3.1 中的一个管理布局问题,即 changelist 过滤器控件会被压扁(#32391)。