CVE-2017-12794：技术 500 调试页面中的跟踪信息部分可能存在 XSS 漏洞

在旧版本中，技术 500 调试页面的模板中有一部分禁用了 HTML 自动转义。在特定情况下，这可能导致跨站点脚本攻击。由于您不应该在生产环境中启用DEBUG = True（这使得该页面可访问），因此此漏洞对大多数生产站点不会造成影响。

感谢 Charles Bideau 报告此问题。

受影响的支持版本

• Django 主开发分支
• Django 1.11
• Django 1.10

根据我们的支持版本政策，Django 1.9 已不再受支持。Django 1.8 未受影响。

解决方案

已将解决问题的补丁应用于 Django 的主开发分支和 1.11 及 1.10 发布分支。补丁可从以下更改集中获取

• 在开发主分支上
• 在1.11 发布分支上
• 在1.10 发布分支上

已发布以下版本

• Django 1.11.5 (下载 Django 1.11.5 | 1.11.5 校验和)
• Django 1.10.8 (下载 Django 1.10.8 | 1.10.8 校验和)

这些版本使用的 PGP 密钥 ID 为 Tim Graham：1E8ABDC773EDE252。

有关安全报告的常规说明

与往常一样，我们请求您通过私人电子邮件将潜在的安全问题报告至security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅我们的安全政策以获取更多信息。