管理インターフェースの制限付きフィルター

Django管理インターフェースdjango.contrib.adminは、データベースレベルの関係全体を含め、対応するモデルのフィールドによるオブジェクトの表示リストのフィルタリングをサポートします。 これは、URLのクエリ文字列部分でルックアップ引数を渡すことによって実装され、ModelAdminクラスのオプションを使用すると、開発者は、フィルタリング用の自動リンクを生成する特定のフィールドまたは関係を指定できます。

歴史的に文書化されておらず、非公式にサポートされている機能の1つは、モデルの構造とこれらのルックアップ引数の形式について十分な知識を持つユーザーが、クエリ文字列を操作することで、便利な新しいフィルターをその場で発明できることです。

ただし、これを悪用して、管理者ユーザーの権限外の情報にアクセスできることが実証されています。 たとえば、管理者にアクセスでき、モデルの構造と関係について十分な知識を持つ攻撃者は、クエリ文字列を作成できます。クエリ文字列は、DjangoデータベースAPIでサポートされている正規表現ルックアップを繰り返し使用することで、ユーザーのパスワードハッシュなどの機密情報を公開します。

これを修正するために、django.contrib.adminは、クエリ文字列ルックアップ引数が、表示されているモデルのフィールドのみを指定するか、上記の既存のメカニズムを使用してアプリケーション開発者によって明示的にホワイトリストに登録された相互関係を指定することを検証します。 これは、任意のルックアップを挿入する以前の機能に依存しているユーザーにとっては、下位互換性がありません。