вы ведь читаете джанго rss? я нет но вот https://www.djangoproject.com/weblog/2014/apr/21/security/ - неожиданное выполнение кода при использовании reverse - некорректное кеширование некоторых страниц при использовании CSRF кукисов - не всегда производится явное конвертирование полей в случае с MySQL
1) опасная хуйня конечно, но как правило библиотеки написаны так что при импорте не производят никаких действий, а тупо импортируются. Тем более ничего с request object'ом. Так что не так страшен черт как говоорится :-)
2) Вот тут я вообще не понял суть проблемы ... тоже мало применимо на мой взгляд, по той причине что guest's редко что важное могут делать на сайте, а спиздить ксрф только для них можно. Ну спиздил и спиздил и толку то. Как факт - да, но хз как это применить. Если у вас есть идеи, давайте побазарим))
3) тут уже айайайа, похоже на возможную sql injection. Опять же несовсем понятно как с этим работать, в недрах орм жанги не ковырялся, опасно ли это - хз. по факту там проблема что тип жестко не прокастован, но опять же user-input злой может быть только в виде string/unicode. а string в дальнейшем виде все равно будет заэскейпен наверняка. Так что хз опасно ли, поэтому видимо queries unexpected results :-)))) ошибка есть, валидацию проебали, а толку наверное от нее нет как таковой.
Тут еще к слову про "невсегда производится явное конвертирование полей" - слишком желто. просто пропущена валидация жесткая в типах полей: FilePathField, GenericIPAddressField, IPAddressField.
в комите видно фикс - тупо привели к строке и все. сам фикс какбэ намекает что ничего страшного, но лучше определенность чем неопределенность :-D
пункт 1) страшно, если есть какие то жесткие либы, которые просто при импорте могут тебе систему снести (утрировано). в реальности сомневаюсь что такие вообще есть, при импорте как правило минимальная инициализация и все. никакой user-input они все равно не поддержат, так как reverse выполняется без контекста запроса. поэтому по большому счету похуй на эту уязвимость. не опасна. уязвимость сродня владению пистолетом - пистолет есть, и ты можем им выстрелить себе в почку, но ты должен сам выстрелить все равно)))
в ROR были куда более ржачные секьюрити проблемы. через которые его ломал хомяков)) там вообще песня конечно была ... с магией перестарались
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3730 The django.util.http.is_safe_url function in Django 1.4 before 1.4.13, 1.5 before 1.5.8, 1.6 before 1.6.5, and 1.7 before 1.7b4 does not properly validate URLs, which allows remote attackers to conduct open redirect attacks via a malformed URL, as demonstrated by "http:\\\djangoproject.com."
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1418 Django 1.4 before 1.4.13, 1.5 before 1.5.8, 1.6 before 1.6.5, and 1.7 before 1.7b4 does not properly include the (1) Vary: Cookie or (2) Cache-Control header in responses, which allows remote attackers to obtain sensitive information or poison the cache via a request from certain browsers.