memo.inc.php/insert.inc.phpにXSS脆弱性

メッセージ

BugTrack/161に絡みますが、

"><script>alert("Hello");</script><"

という名前のページに#memoや#insertを置くと、スクリプトが実行されます。

plugin_xxxx_convert()内で、$vars[page]を素通ししています。

."<input type=\"hidden\" name=\"refer\" value=\"$vars[page]\" />\n"


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2002-11-29 (金) 13:46:48
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.113 sec.

OSDN