Django 2.2.27 版本发行说明

Donate 来源:Django 浏览 161 扫码分享 2023-12-12 19:23:00

Django 2.2.27 版本发行说明
- CVE-2022-22818: 可能通过 {% debug %} 模板标签进行跨站脚本攻击 (XSS) 攻击
- CVE-2022-23833 : 文件上传中可能存在拒绝服务漏洞。

Django 2.2.27 版本发行说明

2022 年 2 月 1 日

Django 2.2.27 修复了 2.2.26 中的两个严重程度为 “中等” 的安全问题。

CVE-2022-22818: 可能通过 `{% debug %}` 模板标签进行跨站脚本攻击 (XSS) 攻击

{% debug %} 模板标签没有正确编码当前上下文，存在跨站脚本攻击 (XSS) 攻击风险。

为了避免这个漏洞，当 DEBUG 设置为 False 时，{% debug %} 不再输出信息，并且在 DEBUG 设置为 True 时，它确保所有上下文变量都正确地进行了转义。

CVE-2022-23833 : 文件上传中可能存在拒绝服务漏洞。

传递特定的输入到多部分表单可能导致在解析文件时进入无限循环。

当前内容版权归 Django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Django .

本文档使用 BookStack 构建

展开/收起文章目录