*refプラグインで外部cgi等を呼び出し可能 [#s7d2c605]

-ページ: [[BugTrack2]]
-投稿者: [[にぶんのに]]
-優先順位: 低
-状態: 提案
-カテゴリー: 本体バグ
-投稿日: 2005-05-18 (水) 02:13:48
-バージョン: 1.4.5

**メッセージ [#rff466d9]
refプラグインではいたずら防止のため、画像以外は指定されたURIを呼び出さないよう、チェックが設けられています。
~しかしこのチェックはURIの末尾のみで判定を行うため、不十分です。具体的には hogehoge.cgi?param1=fuga&param2=…&e=.png のようにダミーの条件を末尾に付け加える事でチェックはすり抜けてしまいます。
~しかしこのチェックはURIの末尾のみで判定を行うため、不十分であると思われます。
具体的には hogehoge.cgi?param1=fuga&param2=…&e=.png のようにダミーの条件を末尾に付け加える事でチェックはすり抜けてしまいます。

影響範囲はrefプラグインおよびmake_link.phpの2箇所。対処方法としては次のように ? を弾く必要が考えられるかと思います。
影響範囲はrefプラグインおよびmake_link.phpの2箇所。対処方法としては次のように ? を弾く方法が考えられるかと思います。
 -define('PLUGIN_REF_IMAGE', '/\.(gif|png|jpe?g)$/i');
 +define('PLUGIN_REF_IMAGE', '/^[^?]*\.(gif|png|jpe?g)$/i');

※この問題は[[org:欲しいプラグイン/51]]から発掘しました。

----

#comment


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.061 sec.

OSDN