CVE-2016-7401：带有 Google Analytics 的网站上的 CSRF 保护绕过

Google Analytics 和 Django 的 Cookie 解析之间存在交互，可能允许攻击者设置任意 Cookie，从而绕过 CSRF 保护。

感谢 Sergey Bobrov 报告此问题。

受影响的支持版本

• Django 1.9
• Django 1.8

Django 1.10 和主开发分支不受影响。

根据我们的 支持版本策略，Django 1.7 及更早版本不再接收安全更新。

解决方法

已将解决此问题的补丁应用于 Django 的 1.9 和 1.8 发布分支。补丁可从以下变更集中获取

• 在 1.9 发布分支上
• 在 1.8 发布分支上

已发布以下新版本

• Django 1.9.10 (下载 Django 1.9.10 | 1.9.10 校验和)
• Django 1.8.15 (下载 Django 1.8.15 | 1.8.15 校验和)

这些版本使用的 PGP 密钥 ID 为 Tim Graham：1E8ABDC773EDE252。

有关安全报告的常规说明

与往常一样，我们要求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息，请参阅 我们的安全策略。