CVE-2021-28658：通过上传文件进行潜在的目录遍历

MultiPartParser允许通过具有精心构造的文件名的上传文件进行目录遍历。

此漏洞不会影响内置的上传处理程序。

感谢 Dennis Brinkrolf 报告此问题。

受影响的支持版本

• Django 主分支
• Django 3.2（将在今天晚些时候的单独博文中发布）
• Django 3.1
• Django 3.0
• Django 2.2

解决方案

已将解决此问题的补丁应用于 Django 的主分支和 3.2、3.1、3.0 和 2.2 发布分支。可以从以下变更集中获取补丁

• 在主分支上
• 在3.2 发布分支上
• 在3.1 发布分支上
• 在3.0 发布分支上
• 在2.2 发布分支上

已发布以下版本

• Django 3.1.8（下载 Django 3.1.8 | 3.1.8 校验和）
• Django 3.0.14（下载 Django 3.0.14 | 3.0.14 校验和）
• Django 2.2.20（下载 Django 2.2.20 | 2.2.20 校验和）

此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak：2EF56372BA48CD1B。

有关安全报告的常规说明

与往常一样，我们要求通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息，请参阅我们的安全政策。